FÜR MICROSOFT EXCHANGE SERVER Installations- und...

ESET MAIL SECURITY FÜR MICROSOFT EXCHANGE SERVER

Installations- und Benutzerhandbuch Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2

Klicken Sie hier, um die neueste Version dieses Dokuments herunterzuladen

http://go.eset.eu/manual?prod_abb=emsx&prod_version=45&doc_name=userguide&lng_abb=deu

ESET MAIL SECURITYCopyright ©2014 ESET, spol. s r.o.ESET Mail Security wurde entwickelt von ESET, spol. s r.o.

Nähere Informationen finden Sie unter www.eset.com.Alle Rechte vorbehalten. Kein Teil dieser Dokumentation darf ohneschriftliche Einwilligung des Verfassers reproduziert, in einemAbrufsystem gespeichert oder in irgendeiner Form oder auf irgendeineWeise weitergegeben werden, sei es elektronisch, mechanisch, durchFotokopien, Aufnehmen, Scannen oder auf andere Art.ESET, spol. s r.o. behält sich das Recht vor, ohne vorherige Ankündigungan jedem der hier beschriebenen Software-Produkte Änderungenvorzunehmen.

Support: www.eset.com/support

Versionsstand 5/2/2014

Inhalt

..................................................5Einführung1.

........................................................................5Was ändert sich mit Version 4.5?1.1

........................................................................5Systemanforderungen1.2

........................................................................6Verwendete Prüfmethoden1.3.........................................................................6Postfach-Prüfung mit VSAPI1.3.1.........................................................................6E-Mail-Prüfung auf SMTP-Server1.3.2

........................................................................6Schutzarten1.4.........................................................................6Virenschutz1.4.1.........................................................................6Spam-Schutz1.4.2.........................................................................7Anwendung benutzerdefinierter Regeln1.4.3

........................................................................7Benutzeroberfläche1.5

..................................................8Installation2.

........................................................................8Standardinstallation2.1

........................................................................9Benutzerdefinierte Installation2.2

........................................................................11Terminalserver2.3

........................................................................12Auf neuere Version aktualisieren2.4

........................................................................13Exchange Server-Rollen – Edge und Hub2.5

........................................................................13Rollen in Exchange Server 20132.6

........................................................................13Cluster-Installation2.7

........................................................................15Lizenz2.8

........................................................................17Konfiguration nach der Installation2.9

..................................................19ESET Mail Security – Schutz für MicrosoftExchange Server

3.

........................................................................19Allgemeine Einstellungen3.1.........................................................................19Microsoft Exchange Server3.1.1

........................................................................19VSAPI (Virus-Scanning Application ProgrammingInterface)

3.1.1.1

........................................................................19Transport-Agent3.1.1.2.........................................................................21Regeln3.1.2........................................................................22Neue Regeln hinzufügen3.1.2.1........................................................................23Aktionen bei Anwendung einer Regel3.1.2.2

.........................................................................24Log-Dateien3.1.3

.........................................................................25Quarantäne für Nachrichten3.1.4........................................................................26Hinzufügen einer neuen Quarantäne-Regel3.1.4.1

.........................................................................26Leistung3.1.5

........................................................................27Einstellungen für Viren- und Spyware-Schutz3.2.........................................................................27Microsoft Exchange Server3.2.1

........................................................................28Virus-Scanning Application ProgrammingInterface (VSAPI)

3.2.1.1

..........................................................................28Microsoft Exchange Server 5.5 (VSAPI 1.0)3.2.1.1.1.........................................................................28Aktionen3.2.1.1.1.1.........................................................................28Leistung3.2.1.1.1.2

..........................................................................28Microsoft Exchange Server 2000 (VSAPI 2.0)3.2.1.1.2.........................................................................29Aktionen3.2.1.1.2.1.........................................................................29Leistung3.2.1.1.2.2

..........................................................................30Microsoft Exchange Server 2003 (VSAPI 2.5)3.2.1.1.3.........................................................................30Aktionen3.2.1.1.3.1.........................................................................31Leistung3.2.1.1.3.2

..........................................................................31Microsoft Exchange Server 2007/2010 (VSAPI 2.6)3.2.1.1.4.........................................................................32Aktionen3.2.1.1.4.1.........................................................................32Leistung3.2.1.1.4.2

..........................................................................33Transport-Agent3.2.1.1.5.........................................................................34Aktionen3.2.2.........................................................................34Warnungen und Hinweise3.2.3.........................................................................35Automatische Ausschlüsse3.2.4

........................................................................36Spam-Schutz3.3.........................................................................37Microsoft Exchange Server3.3.1........................................................................37Transport-Agent3.3.1.1........................................................................38POP3-Connector und Spam-Schutz3.3.1.2

.........................................................................39Spam-Schutz3.3.2........................................................................39Einstellungen für Spam-Schutz3.3.2.1

..........................................................................39Analyse3.3.2.1.1.........................................................................40Proben3.3.2.1.1.1.........................................................................40SpamCompiler3.3.2.1.1.2.........................................................................40Liste der Cachespeicherdateien3.3.2.1.1.1

..........................................................................40Trainingsmodus3.3.2.1.2..........................................................................41Regeln3.3.2.1.3.........................................................................42Regelgewichtung3.3.2.1.3.1.........................................................................42Regelgewichtung hinzufügen3.3.2.1.3.1.........................................................................42Liste heruntergeladener Regeldateien3.3.2.1.3.2.........................................................................42Kategoriegewichtung3.3.2.1.3.3.........................................................................42Kategoriegewichtung hinzufügen3.3.2.1.3.1.........................................................................42Liste benutzerdefinierter Regeln3.3.2.1.3.4

..........................................................................43Filterung3.3.2.1.4.........................................................................43Zugelassene Absender3.3.2.1.4.1.........................................................................43Blockierte Absender3.3.2.1.4.2.........................................................................43Zugelassene IP-Adressen3.3.2.1.4.3.........................................................................43Ignorierte IP-Adressen3.3.2.1.4.4.........................................................................44Blockierte IP-Adressen3.3.2.1.4.5.........................................................................44Zugelassene Domänen3.3.2.1.4.6.........................................................................44Ignorierte Domänen3.3.2.1.4.7.........................................................................44Blockierte Domänen3.3.2.1.4.8.........................................................................44Gespoofte Absender3.3.2.1.4.9

..........................................................................44Überprüfung3.3.2.1.5.........................................................................44RBL (Realtime Blackhole List)3.3.2.1.5.1.........................................................................45Liste der RBL-Server3.3.2.1.5.1.........................................................................45LBL (Last Blackhole List)3.3.2.1.5.2.........................................................................45Liste der LBL-Server3.3.2.1.5.1.........................................................................45Liste übersprungener IP-Adressen3.3.2.1.5.2.........................................................................45DNSBL (DNS Block List)3.3.2.1.5.3.........................................................................45Liste der DNSBL-Server3.3.2.1.5.1

..........................................................................46DNS3.3.2.1.6

..........................................................................46Score3.3.2.1.7

..........................................................................46Spambait3.3.2.1.8.........................................................................47Spambait-Adressen3.3.2.1.8.1.........................................................................47Als nicht existierend betrachtete Adressen3.3.2.1.8.2

..........................................................................47Kommunikation3.3.2.1.9

..........................................................................47Leistung3.3.2.1.10..........................................................................48Regionale Einstellungen3.3.2.1.11.........................................................................48Liste der üblichen Sprachen3.3.2.1.11.1.........................................................................49Liste der üblichen Länder3.3.2.1.11.2.........................................................................53Liste der blockierten Länder3.3.2.1.11.3.........................................................................54Liste der blockierten Zeichensätze3.3.2.1.11.4

..........................................................................54Log-Dateien3.3.2.1.12

..........................................................................54Statistiken3.3.2.1.13

..........................................................................54Optionen3.3.2.1.14.........................................................................55Warnungen und Hinweise3.3.3

........................................................................55Häufig gestellte Fragen (FAQ)3.4

..................................................59ESET Mail Security – Server-Schutz4.

........................................................................59Viren- und Spyware-Schutz4.1.........................................................................59Echtzeit-Dateischutz4.1.1........................................................................59Prüfeinstellungen4.1.1.1

..........................................................................60Zu prüfende Datenträger4.1.1.1.1

..........................................................................60Prüfen beim (ereignisgesteuerte Prüfung)4.1.1.1.2

..........................................................................60Erweiterte Optionen für Prüfungen4.1.1.1.3........................................................................61Säuberungsstufen4.1.1.2

........................................................................61Wann sollten die Einstellungen für denEchtzeit-Dateischutz geändert werden?

4.1.1.3

........................................................................62Echtzeit-Dateischutz prüfen4.1.1.4

........................................................................62Vorgehensweise bei fehlerhaftemEchtzeit-Dateischutz

4.1.1.5

.........................................................................63E-Mail-Client-Schutz4.1.2........................................................................63POP3-Prüfung4.1.2.1

..........................................................................64Kompatibilität4.1.2.1.1........................................................................64Integration mit E-Mail-Programmen4.1.2.2

..........................................................................65E-Mail-Body Prüfhinweise hinzufügen4.1.2.2.1........................................................................65Eingedrungene Schadsoftware entfernen4.1.2.3

.........................................................................66Web-Schutz4.1.3........................................................................66HTTP, HTTPS4.1.3.1

..........................................................................67Adressverwaltung4.1.3.1.1

..........................................................................68Aktiver Modus4.1.3.1.2.........................................................................69On-Demand-Prüfung4.1.4........................................................................70Prüfungstyp4.1.4.1

..........................................................................70Standardprüfung4.1.4.1.1

..........................................................................70Prüfen mit speziellen Einstellungen4.1.4.1.2........................................................................71Zu prüfende Objekte4.1.4.2........................................................................71Prüfprofile4.1.4.3........................................................................72Kommandozeile4.1.4.4

.........................................................................74Leistung4.1.5

.........................................................................74Prüfen von Anwendungsprotokollen4.1.6........................................................................74SSL4.1.6.1

..........................................................................75Vertrauenswürdige Zertifikate4.1.6.1.1

..........................................................................75Ausgeschlossene Zertifikate4.1.6.1.2.........................................................................75Einstellungen für ThreatSense4.1.7........................................................................76Einstellungen für Objekte4.1.7.1........................................................................76Optionen4.1.7.2........................................................................78Säubern4.1.7.3........................................................................79Erweiterungen4.1.7.4........................................................................79Grenzen4.1.7.5

........................................................................80Sonstige4.1.7.6.........................................................................80Eingedrungene Schadsoftware wurde erkannt4.1.8

........................................................................81Aktualisieren des Programms4.2.........................................................................83Einstellungen für Updates4.2.1........................................................................84Update-Profile4.2.1.1........................................................................84Erweiterte Einstellungen für Updates4.2.1.2

..........................................................................85Update-Modus4.2.1.2.1

..........................................................................86Proxyserver4.2.1.2.2

..........................................................................88Herstellen einer LAN-Verbindung4.2.1.2.3

..........................................................................89Erstellen von Kopien der Update-Dateien –Update-Mirror

4.2.1.2.4

.........................................................................90Aktualisieren über Update-Mirror4.2.1.2.4.1

.........................................................................91Fehlerbehebung bei Problemen mit Updates überUpdate-Mirror

4.2.1.2.4.2

.........................................................................91So erstellen Sie Update-Tasks4.2.2

........................................................................92Taskplaner4.3.........................................................................92Verwendung von Tasks4.3.1.........................................................................93Erstellen von Tasks4.3.2

........................................................................94Quarantäne4.4.........................................................................94Quarantäne für Dateien4.4.1.........................................................................95Wiederherstellen aus Quarantäne4.4.2.........................................................................95Einreichen von Dateien aus der Quarantäne4.4.3

........................................................................96Log-Dateien4.5.........................................................................100Log-Filter4.5.1.........................................................................101In Log suchen4.5.2.........................................................................103Log-Wartung4.5.3

........................................................................104ESET SysInspector4.6.........................................................................104Einführung in ESET SysInspector4.6.1........................................................................104Starten von ESET SysInspector4.6.1.1

.........................................................................105Benutzeroberfläche und Bedienung4.6.2........................................................................105Menüs und Bedienelemente4.6.2.1........................................................................106Navigation in ESET SysInspector4.6.2.2

..........................................................................107Tastaturbefehle4.6.2.2.1........................................................................109Vergleichsfunktion4.6.2.3.........................................................................110Kommandozeilenparameter4.6.3.........................................................................110Dienste-Skript4.6.4........................................................................110Erstellen eines Dienste-Skripts4.6.4.1........................................................................111Aufbau des Dienste-Skripts4.6.4.2........................................................................113Ausführen von Dienste-Skripten4.6.4.3

.........................................................................113Häufige Fragen (FAQ)4.6.5

.........................................................................115ESET SysInspector als Teil von ESET Mail Security4.6.6

........................................................................115ESET SysRescue4.7.........................................................................115Minimalanforderungen4.7.1.........................................................................116Erstellen der Rettungs-CD4.7.2.........................................................................116Zielauswahl4.7.3.........................................................................116Einstellungen4.7.4

........................................................................117Ordner4.7.4.1

........................................................................117ESET Antivirus4.7.4.2

........................................................................117Erweiterte Einstellungen4.7.4.3

........................................................................118Internetprotokoll4.7.4.4

........................................................................118Bootfähiges USB-Gerät4.7.4.5

........................................................................118Brennen4.7.4.6.........................................................................118Die Arbeit mit ESET SysRescue4.7.5........................................................................119Verwenden des ESET SysRescue-Mediums4.7.5.1

........................................................................119Einstellungen für Benutzeroberfläche4.8.........................................................................121Warnungen und Hinweise4.8.1

.........................................................................122Deaktivieren der Benutzeroberfläche aufTerminalserver

4.8.2

........................................................................122eShell4.9.........................................................................123Verwendung4.9.1.........................................................................126Befehle4.9.2

........................................................................128Einstellungen importieren/exportieren4.10

........................................................................129ThreatSense.Net4.11.........................................................................130Verdächtige Dateien4.11.1.........................................................................131Statistik4.11.2.........................................................................132Einreichen4.11.3

........................................................................133Remoteverwaltung4.12

........................................................................134Lizenzen4.13

..................................................135Glossar5.

........................................................................135Schadsoftwaretypen5.1.........................................................................135Viren5.1.1.........................................................................135Würmer5.1.2.........................................................................136Trojaner5.1.3.........................................................................136Rootkits5.1.4.........................................................................136Adware5.1.5.........................................................................137Spyware5.1.6.........................................................................137Potenziell unsichere Anwendungen5.1.7.........................................................................137Evtl. unerwünschte Anwendungen5.1.8

........................................................................138E-Mails5.2.........................................................................138Werbung5.2.1.........................................................................138Falschmeldungen (Hoaxes)5.2.2.........................................................................139Phishing5.2.3.........................................................................139Erkennen von Spam-Mails5.2.4........................................................................139Regeln5.2.4.1

........................................................................140Bayesscher Filter5.2.4.2

........................................................................140Positivliste5.2.4.3

........................................................................140Negativliste5.2.4.4

........................................................................140Serverseitige Kontrolle5.2.4.5

5

1. EinführungESET Mail Security 4 für Microsoft Exchange Server ist eine integrierte Lösung, die Ihre Postfächer vorSchadsoftware schützt, darunter mit Würmern oder Trojanern infizierte E-Mail-Anlagen, mit bösartigen Skriptenversehene Dokumente sowie Phishing-Mails und Spam. ESET Mail Security verfügt über drei Schutzarten:Virenschutz, Spam-Schutz und die Anwendung benutzerdefinierter Regeln. ESET Mail Security erkenntSchadsoftware auf dem E-Mail-Server, d. h. sie erreicht nicht den Posteingang des E-Mail-Empfängers.

ESET Mail Security unterstützt Microsoft Exchange Server ab Version 2000 und Microsoft Exchange Server in einerCluster-Umgebung. In neueren Versionen (ab Microsoft Exchange Server 2007) werden auch bestimmte Rollenunterstützt (Postfach, Hub, Edge). Mithilfe von ESET Remote Administrator können Sie ESET Mail Security ingrößeren Netzwerken zentral verwalten.

Neben dem Schutz von Microsoft Exchange Server bietet ESET Mail Security auch Möglichkeiten, den Server selbstzu schützen (Hintergrundwächter, Web-Schutz, E-Mail-Client-Schutz und Spam-Schutz).

1.1 Was ändert sich mit Version 4.5?

Gegenüber ESET Mail Security Version 4.3 verfügt Version 4.5 über die folgenden Neuerungen und Verbesserungen:

Die Einstellungen für den Spam-Schutz sind nun über die grafische Benutzeroberfläche verfügbar, sodassAdministratoren bequem und einfach Änderungen vornehmen können.

Unterstützung für Microsoft Exchange Server 2013

Unterstützung für Microsoft Windows Server 2012 / 2012 R2

1.2 Systemanforderungen

Unterstützte Betriebssysteme:

Microsoft Windows 2000 ServerMicrosoft Windows Server 2003 (x86 und x64)Microsoft Windows Server 2008 (x86 und x64)Microsoft Windows Server 2008 R2Microsoft Windows Server 2012Microsoft Windows Server 2012 R2Microsoft Windows Small Business Server 2003 (x86)Microsoft Windows Small Business Server 2003 R2 (x86)Microsoft Windows Small Business Server 2008 (x64)Microsoft Windows Small Business Server 2011 (x64)

Unterstützte Versionen von Microsoft Exchange Server:

Microsoft Exchange Server 2000 SP1, SP2, SP3Microsoft Exchange Server 2003 SP1, SP2 Microsoft Exchange Server 2007 SP1, SP2, SP3Microsoft Exchange Server 2010 SP1, SP2, SP3Microsoft Exchange Server 2013

Die Hardware-Anforderungen sind abhängig von den verwendeten Versionen von Microsoft Exchange Server unddes Betriebssystems. Beachten Sie die weiteren Informationen zu Hardware-Anforderungen in derProduktdokumentation zu Microsoft Exchange Server.

6

1.3 Verwendete Prüfmethoden

Für die Prüfung von E-Mails werden zwei unabhängige Methoden verwendet:

Postfach-Prüfung mit VSAPIE-Mail-Prüfung auf SMTP-Server

1.3.1 Postfach-Prüfung mit VSAPI

Die Postfach-Prüfung wird vom Microsoft Exchange Server ausgelöst und gesteuert. E-Mails in der Datenbank vonMicrosoft Exchange Server werden ständig geprüft. Je nach Ihren benutzerdefinierten Einstellungen und jenachdem, welche Versionen von Microsoft Exchange Server und der VSAPI-Schnittstelle Sie verwenden, wird diePrüfung in den folgenden Situationen ausgelöst:

Beim Zugriff des Benutzers auf seine E-Mails, z. B. in einem E-Mail-Programm (E-Mails werden immer mit derneuesten Version der Signaturdatenbank geprüft)Im Hintergrund, wenn Microsoft Exchange Server nicht ausgelastet istProaktiv (abhängig vom internen Algorithmus von Microsoft Exchange Server)

Derzeit wird die VSAPI-Schnittstelle für den Virenschutz und den regelbasierten Schutz verwendet.

1.3.2 E-Mail-Prüfung auf SMTP-Server

Die Prüfung auf dem SMTP-Server wird mit einem speziellen Plug-In durchgeführt. Bei Microsoft Exchange Server2000 und 2003 ist das entsprechende Plug-In (Ereignissenke) als Teil der Internetinformationsdienste (IIS) auf demSMTP-Server registriert. Bei Microsoft Exchange Server 2007/2010 ist das Plug-In als Transport-Agent in den Rollen Edge oder Hub von Microsoft Exchange Server registriert.

Die Prüfung durch einen Transport-Agenten auf dem SMTP-Server bietet Viren- und Spam-Schutz sowie dieMöglichkeit, benutzerdefinierte Regeln zu erstellen. Im Gegensatz zur VSAPI-Prüfung findet die Prüfung auf demSMTP-Server statt, noch bevor die geprüften E-Mails das Postfach von Microsoft Exchange Server erreichen.

1.4 Schutzarten

Es gibt drei Schutzarten:

1.4.1 Virenschutz

Zu den grundlegenden Funktionen von ESET Mail Security gehört der Virenschutz. Virenschutzlösungen bietendurch Überwachung der Daten-, E-Mail- und Internet-Kommunikation Schutz vor bösartigen Systemangriffen.Wird eine Bedrohung durch Schadcode erkannt, kann das Virenschutz-Modul den Code unschädlich machen, indemes die Ausführung des Codes blockiert und dann den Code entfernt bzw. die Datei löscht oder in die Quarantäneverschiebt.

1.4.2 Spam-Schutz

Um E-Mail-Bedrohungen höchstwirksam erkennen zu können, arbeiten Spamschutzlösungen mit verschiedenenTechnologien (RBL, DNSBL, Fingerprint-Datenbanken, Reputations-Prüfung, Inhaltsanalyse, Bayesscher Filter,Regeln, manuell geführte Whitelists/Blacklists usw.). Das Spamschutz-Modul berechnet dieGesamtwahrscheinlichkeit, dass es sich bei der geprüften E-Mail um Spam handelt, und gibt sie in Prozent aus(Wert zwischen 0 und 100).

Die Greylisting-Methode (standardmäßig deaktiviert) ist eine weitere Komponente des Spamschutzmoduls. DieseMethode basiert auf der Spezifikation RFC 821, wonach aufgrund der prinzipiellen Unzuverlässigkeit desSendeprotokolls SMTP jeder MTA (Message Transfer Agent) nach einem temporären Fehler beim Versenden der E-Mail wiederholte Zustellversuche unternehmen sollte. Eine erhebliche Anzahl von Spam-E-Mails wird nur einmal(durch spezielle Tools) an automatisch erstellte Empfängerlisten zugestellt. Wendet ein Server Greylisting an,errechnet er einen Kontrollwert (Hashwert) aus der E-Mail-Adresse des Absenders, der E-Mail-Adresse desEmpfängers und der IP-Adresse des absendenden MTA. Findet der Server den aus diesen drei Komponentenerrechneten Kontrollwert nicht in seiner Datenbank auf, verweigert er die Annahme der E-Mail und meldet einentemporären Fehler (z. B. 451). Ein rechtmäßiger Server unternimmt nach einer einstellbaren Zeitspanne einen

6

6

94

7

erneuten Zustellversuch. Beim zweiten Versuch wird der Kontrollwert aus den drei Komponenten in einerDatenbank für geprüfte E-Mail-Adressen gespeichert, sodass ab dann E-Mails mit den entsprechenden Merkmalenzugestellt werden können.

1.4.3 Anwendung benutzerdefinierter Regeln

Sowohl die VSAPI-Prüfung als auch die Prüfung mit einem Transport-Agenten bietet Schutz auf Basisbenutzerdefinierter Regeln. Mit der ESET Mail Security-Benutzeroberfläche können Sie individuelle Regeln erstellenund auch kombinieren. Wenn eine Regel mehrere Bedingungen enthält, werden diese durch ein logisches UNDverknüpft. Dementsprechend wird die Regel nur ausgeführt, wenn alle Bedingungen erfüllt sind. Wenn mehrereRegeln erstellt werden, wird ein logisches ODER verwendet, d. h., das Programm führt die erste Regel aus, derenBedingungen erfüllt sind.

Bei der Prüfung wird zuerst die Greylisting-Technik angewendet, sofern sie aktiviert ist. Anschließend werden diefolgenden Techniken angewendet: die Prüfung nach benutzerdefinierten Regeln, dann eine Virenprüfung undschließlich eine Spam-Prüfung.

1.5 Benutzeroberfläche

Die intuitive Benutzeroberfläche von ESET Mail Security ist auf hohe Benutzerfreundlichkeit ausgelegt. Sieermöglicht dem Benutzer schnell und unkompliziert Zugang zu den Hauptfunktionen des Programms.

Zusätzlich zur allgemeinen Benutzeroberfläche gibt es den Menüpunkt Erweiterte Einstellungen, dessen FensterSie an jeder Stelle im Programm mit der Taste F5 öffnen können.

Durch Drücken von F5 öffnet sich das Dialogfenster mit einer Liste der konfigurierbaren Programmfunktionen. Überdieses Fenster können Sie persönliche Einstellungen vornehmen und Funktionen konfigurieren. Die Baumstrukturzeigt zwei Bereiche: Server-Schutz und Computer-Schutz. Im Bereich Server-Schutz kann ESET Mail Security fürdie Nutzung mit Microsoft Exchange konfiguriert werden. Der Bereich Computer-Schutz bietetKonfigurationsoptionen für den Schutz des Servercomputers selbst.

8

2. InstallationNach dem Kauf von ESET Mail Security können Sie das Installationsprogramm von der ESET-Website (www.eset.com) als .msi-Dateipaket herunterladen.

Hinweis: Das Installationsprogramm muss unter dem integrierten Administratorkonto ausgeführt werden. AndereBenutzer haben nicht die erforderlichen Zugriffsrechte (auch dann nicht, wenn sie der Gruppe „Administratoren“angehören). Verwenden Sie also immer das integrierte Administratorkonto Administrator, da die Installationansonsten nicht abgeschlossen werden kann.

Zum Starten des Installationsprogramms gibt es zwei Möglichkeiten:

Sie können sich lokal mit dem Konto „Administrator“ anmelden und das Installationsprogramm dann einfach wiegewohnt starten.Wenn Sie mit einem anderen Konto angemeldet sind, öffnen Sie über den Befehl Ausführen als eineKommandozeilensitzung (cmd) unter der Identität des Benutzers „Administrator“. Geben Sie dann den Befehlzum Ausführen des Installationsprogramms wie z. B. msiexec /i emsx_nt64_ENU.msi ein. Ersetzen Sie dabeiemsx_nt64_ENU.msi durch den Dateinamen des heruntergeladenen MSI-Installationspakets.

Starten Sie das Installationsprogramm. Der Installationsassistent unterstützt Sie bei der Installation. Es stehenzwei Installationsmodi zur Verfügung, die unterschiedlich viele Einstellungsmöglichkeiten bieten:

1. Standardinstallation

2. Benutzerdefinierte Installation

HINWEIS: Wenn möglich, wird die Installation von ESET Mail Security auf einem neu installierten undkonfigurierten Betriebssystem dringend empfohlen. Wenn Sie die Installation jedoch auf einem bereitsvorhandenen System vornehmen müssen, ist am ratsamsten, die alte Version von ESET Mail Security zudeinstallieren, den Server neu zu starten und danach die neue Version von ESET Mail Security zu installieren.

2.1 Standardinstallation

Verwenden Sie den Modus „Standardinstallation“, wenn Sie ESET Mail Security schnell, aber dafür nur mit dengrundlegendsten Konfigurationsmöglichkeiten installieren möchten. Die Standardinstallation wird empfohlen,wenn Sie noch keine speziellen Anforderungen an die Konfiguration haben. Nach der Installation von ESET MailSecurity können Sie jederzeit die Programmoptionen und -einstellungen modifizieren. Im Benutzerhandbuch sinddiese Einstellungen und Funktionen ausführlich beschrieben. Die in der Standardinstallation vorgegebenenEinstellungen bieten sehr gute Sicherheit in Verbindung mit hoher Benutzerfreundlichkeit und Systemleistung.

Wenn Sie den Installationsmodus ausgewählt und auf „Weiter“ geklickt haben, werden Sie aufgefordert, IhreLizenzdaten (Benutzername und Passwort) einzugeben. Dies ist erforderlich, damit ein kontinuierlicher Schutz desSystems gewährleistet werden kann, denn Ihre Lizenzdaten ermöglichen automatische Updates derSignaturdatenbank.

81

http://www.eset.com

http://www.eset.com

9

Geben Sie in den entsprechenden Feldern Ihren Benutzernamen und Ihr Passwort ein, die Sie beim Kauf oder bei derRegistrierung des Produkts erhalten haben. Stehen Ihnen die Lizenzdaten derzeit nicht zur Verfügung, können Siesie zu einem späteren Zeitpunkt direkt im Programm eingeben.

Fügen Sie im nächsten Schritt - Lizenzmanager - die Lizenzdatei hinzu, die Sie per E-Mail nach dem Kauf desProduktes erhalten haben.

Als Nächstes folgt die Konfiguration des ThreatSense.Net-Frühwarnsystems. Über das ThreatSense.Net-Frühwarnsystem erhält ESET unmittelbar und fortlaufend aktuelle Informationen zu neuer Schadsoftware, umdem Benutzer umfassenden Schutz zu bieten. Das Frühwarnsystem übermittelt neue Bedrohungen an das ESET-Virenlabor, wo die entsprechenden Dateien analysiert, bearbeitet und zur Signaturdatenbank hinzugefügt werden.Die Option ThreatSense.Net-Frühwarnsystem aktivieren ist standardmäßig aktiviert. Klicken Sie auf ErweiterteEinstellungen, um Einstellungen für das Einsenden verdächtiger Dateien festzulegen.

Im nächsten Schritt der Installation wird die Einstellung Prüfen auf „Evtl. unerwünschte Anwendungen“konfiguriert. Bei eventuell unerwünschten Anwendungen handelt es sich um Programme, die zwar nicht unbedingtSicherheitsrisiken in sich bergen, jedoch negative Auswirkungen auf das Verhalten Ihres Computers haben können.Weitere Informationen finden Sie im Kapitel Eventuell unerwünschte Anwendungen .

Diese Anwendungen sind oft mit anderen Programmen gebündelt und daher während des Installationsvorgangsschwer erkennbar. Obwohl bei solchen Anwendungen während der Installation gewöhnlich eine Benachrichtigungangezeigt wird, können sie auch leicht ohne Ihre Zustimmung installiert werden.

Aktivieren Sie die Option Prüfen auf „Evtl. unerwünschte Anwendungen“ aktivieren, um die Prüfung dieser Artvon Anwendung durch ESET Mail Security zuzulassen. Wenn Sie diese Funktion nicht nutzen möchten, wählen Siedie Option Prüfen auf „Evtl. unerwünschte Anwendungen“ deaktivieren.

Der letzte Schritt im Standard-Installationsmodus ist die Bestätigung der Installation. Klicken Sie dazu auf dieSchaltfläche Installieren.

2.2 Benutzerdefinierte Installation

Die benutzerdefinierte Installation eignet sich für Benutzer, die ESET Mail Security während der Installationkonfigurieren möchten.

Wenn Sie den Installationsmodus ausgewählt und auf Weiter geklickt haben, werden Sie dazu aufgefordert, einenSpeicherort für die Installation auszuwählen. Standardmäßig schlägt das Programm den Speicherort C:\Programme\ESET\ESET Mail Security vor. Klicken Sie auf Durchsuchen, um diesen Speicherort zu ändern (nichtempfohlen).

Geben Sie dann Ihren Benutzernamen und Ihr Passwort ein. Dieser Schritt ist derselbe wie bei derStandardinstallation .

Fügen Sie im nächsten Schritt - Lizenzmanager - die Lizenzdatei hinzu, die Sie per E-Mail nach dem Kauf desProduktes erhalten haben.

137

8

10

Nachdem Sie Ihre Lizenzdaten eingegeben haben, klicken Sie auf Weiter, um zur Option Einstellungen fürInternetverbindung festlegen zu gelangen.

Wenn Sie einen Proxyserver verwenden, muss dieser richtig eingestellt sein, damit die Signaturdatenbankordnungsgemäß aktualisiert werden kann. Wenn der Proxyserver automatisch konfiguriert werden soll, aktivierenSie die Standardeinstellung Mir ist nicht bekannt, ob meine Internetverbindung einen Proxyserver verwendet.Internet Explorer-Einstellungen verwenden (empfohlen) und klicken Sie auf Weiter. Wenn Sie keinenProxyserver verwenden, aktivieren Sie die Option Keinen Proxyserver verwenden.

Wenn Sie es vorziehen, die Daten des Proxyservers selbst einzutragen, können Sie den Proxyserver auch manuelleinrichten. Um die Einstellungen für Ihren Proxyserver zu konfigurieren, wählen Sie Ich nutze einen Proxyserverund klicken Sie auf Weiter. Geben Sie unter Adresse die IP-Adresse oder URL des Proxyservers ein. Im Feld Portkönnen Sie den Port angeben, über den Verbindungen auf dem Proxyserver eingehen (standardmäßig 3128). Falls fürden Proxyserver Zugangsdaten zur Authentifizierung erforderlich sind, geben Sie einen gültigen Benutzernamenund das Passwort ein. Die Einstellungen für den Proxyserver können auch aus Internet Explorer kopiert werden,falls gewünscht. Sobald Sie die Daten des Proxyservers eingegeben haben, klicken Sie auf Übernehmen undbestätigen Sie die Auswahl.

Klicken Sie auf Weiter, um zu der Option Einstellungen für automatische Updates bearbeiten zu gelangen. Indiesem Schritt der Installation können Sie festlegen, wie Ihr System mit automatischen Updates fürProgrammkomponenten verfahren soll. Klicken Sie auf Ändern, um erweiterte Einstellungen vorzunehmen.

Wenn Sie nicht möchten, dass Programmkomponenten aktualisiert werden, wählen Sie Niemals ausführen.Aktivieren Sie die Option Vor dem Herunterladen Benutzer fragen, so wird vor dem Herunterladen von

11

Programmkomponenten ein Bestätigungsfenster angezeigt. Um Programmkomponenten automatisch zuaktualisieren, wählen Sie Immer ausführen.

HINWEIS: Nach der Aktualisierung von Programmkomponenten muss der Computer üblicherweise neu gestartetwerden. Wir empfehlen, die Option Kein Neustart zu aktivieren. Beim nächsten Neustart des Servers (egal, ob ergeplant ist oder manuell bzw. anderweitig ausgeführt wird) treten die neuesten Updates dann in Kraft. WennSie daran erinnert werden wollen, Ihren Server nach jedem Update neu zu starten, können Sie die Option Benutzerfragen wählen. Mit dieser Option können Sie den Server sofort neu starten oder den Neustart auf einen späterenZeitpunkt verschieben.

Im nächsten Installationsfenster haben Sie die Möglichkeit, die Einstellungen des Programms mit einem Passwortzu schützen. Aktivieren Sie die Option Einstellungen mit Passwort schützen und geben Sie das gewähltePasswort in die Felder Neues Passwort und Neues Passwort bestätigen ein.

Die nächsten beiden Installationsschritte - ThreatSense.Net-Frühwarnsystem und Prüfen auf „Evtl.unerwünschte Anwendungen“ - sind identisch mit denen für die Standardinstallation .

Klicken Sie im Fenster Bereit zur Installation auf Installieren, um die Installation abzuschließen.

2.3 Terminalserver

Wenn Sie ESET Mail Security auf einem Windows-Server installiert haben, der als Terminalserver eingerichtet ist,empfehlen wir Ihnen, die grafische Benutzeroberfläche von ESET Mail Security zu deaktivieren, da diese sonst beijeder Anmeldung eines Benutzers gestartet wird. Nähere Informationen hierzu finden Sie im Abschnitt Deaktivieren der Benutzeroberfläche auf Terminalserver .

92

8

122

12

2.4 Auf neuere Version aktualisieren

Neuere Versionen von ESET Mail Security werden veröffentlicht, um Verbesserungen oder Patches bereitzustellen,die nicht über automatische Updates der Programmmodule implementiert werden können. Zum Aufrüsten auf dieneueste Version von ESET Mail Security stehen zwei Methoden zur Verfügung:

1. Automatisches Upgrade durch ein Update für ProgrammkomponentenDa Updates für Programmkomponenten an alle Benutzer des Programms ausgegeben werden undAuswirkungen auf bestimmte Systemkonfigurationen haben können, werden sie erst nach einer langenTestphase veröffentlicht. Auf diese Weise soll sichergestellt werden, dass die Aufrüstung in allen möglichenKonfigurationen des Systems reibungslos verläuft.

2. Manuell, zum Beispiel, wenn Sie sofort nach der Veröffentlichung eines Upgrades auf die neuere Versionaufrüsten müssen, oder wenn Sie auf eine höhere Generation von ESET Mail Security aufrüsten (beispielsweisevon Version 4.2 oder 4.3 auf Version 4.5).

Eine manuelle Aufrüstung auf eine neuere Version kann entweder über die vorhandene Installation (die neuesteVersion wird über die vorhandene Version installiert) oder über eine saubere Installation (die vorige Version wirdzuerst deinstalliert, bevor die neue Version installiert wird) ausgeführt werden.

So führen Sie eine manuelle Aufrüstung aus:

1. Über eine vorhandene Installation: Installieren Sie die neueste Version über die vorhandene Version von ESET MailSecurity, indem Sie die im Kapitel Installation genannten Schritte befolgen. Alle vorhandenen Einstellungen(auch die Einstellungen des Spam-Schutzes) werden während der Installation automatisch in die neue Versionübernommen.

2. Saubere Installation:

a) Exportieren Sie Ihre Konfiguration/Einstellungen in eine XML-Datei. Nutzen Sie hierzu die Funktion Einstellungen importieren/exportieren .

b) Öffnen Sie diese XML-Datei in einem dedizierten XML-Editor, der dieses Format unterstützt (z. B. WordPadoder Nodepad++), und ändern Sie die „SECTION ID“-Nummer in der dritten Zeile zu „1000404“:

<SECTION ID="1000404">

c) Laden Sie das EMSX AntispamSettingsExport-Tool aus diesem Knowledgebase-Artikel herunter. SpeichernSie EMSX_AntispamSettingsExport.exe auf dem Exchange Server, den Sie auf die neueste Version von ESETMail Security aufrüsten.

d) Führen Sie das EMSX_AntispamSettingsExport.exe -Tool aus. Das Tool erstellt die Datei cfg.xml mit denEinstellungen des Spam-Schutzes Ihrer vorhandenen Installation von ESET Mail Security.

e) Laden Sie das MSI-Installationsprogramm für die neueste Version von ESET Mail Security herunter.

f) Kopieren Sie die vom EMSX AntispamSettingsExport-Tool erstellte Datei cfg.xml an den gleichenSpeicherort, an dem Sie auch die MSI-Installationsdatei für ESET Mail Security gespeichert haben (z. B. emsx_nt64_ENU.msi).

g) Deinstallieren Sie die vorhandene Version von ESET Mail Security.

h) Führen Sie das MSI-Installationsprogramm für ESET Mail Security 4.5 aus. Die in die Datei cfg.xmlexportierten Einstellungen des Spam-Schutzes werden automatisch in die neue Version importiert.

i) Importieren Sie nach Abschluss der Installation die Konfiguration/Einstellungen aus der XML-Datei, die Siein den Schritten a) und b) gespeichert und geändert haben. Verwenden Sie hierzu die Funktion Einstellungen importieren und exportieren und einen XML-Editor. So können Sie die vorigenKonfigurationseinstellungen in die neue Version von ESET Mail Security übernehmen.

Nach dem Ausführen der oben genannten Schritte ist die neue Version von ESET Mail Security mit Ihrer vorigen,benutzerdefinierten Konfiguration auf Ihrem System installiert.

Weitere Informationen zum Aufrüstungsvorgang finden Sie in diesem Knowledgebase-Artikel.

HINWEIS: Beide Arten der manuellen Aufrüstung (über eine vorhandene Installation bzw. anhand einer sauberenInstallation) sind nur für eine Aufrüstung von ESET Mail Security Version 4.2 oder 4.3 auf ESET Mail Security Version4.5 anwendbar.

8

128

128

http://kb.eset.com/esetkb/index?page=content&id=SOLN3313


13

2.5 Exchange Server-Rollen – Edge und Hub

Standardmäßig sind die Spamschutzfunktionen bei einem Edge-Transport-Server aktiviert und bei einem Hub-Transport-Server deaktiviert. In einer Exchange-Organisation mit einem Edge-Transport-Server ist dies diegewünschte Konfiguration. Wir empfehlen, den Spam-Schutz von ESET Mail Security auf dem Edge-Transport-Server so zu konfigurieren, dass die Nachrichten vor der Weiterleitung an die Exchange-Organisation gefiltertwerden. Vorzugsweise sollte die Spamschutzprüfung auf dem Edge-Server ausgeführt werden, weil ESET Mail Security soSpam-Nachrichten früher zurückweisen kann. Dies verhindert eine unnötige Last auf den Vermittlungsschichten.Bei dieser Konfiguration werden eingehende Nachrichten von ESET Mail Security auf dem Edge-Transport-Servergefiltert, sodass sie sicher an den Hub-Transport-Server übermittelt werden können, ohne dass eine weitereFilterung erforderlich ist.

Wenn in Ihrer Organisation kein Edge-Transport-Server, sondern nur ein Hub-Transport-Server verwendet wird,sollten Sie die Spamschutzfunktionen auf dem Hub-Transport-Server aktivieren, der die eingehenden Nachrichtenüber SMTP aus dem Internet empfängt.

2.6 Rollen in Exchange Server 2013

Die Architektur von Exchange Server 2013 unterscheidet sich von anderen Versionen von Microsoft Exchange. InExchange 2013 gibt es nur zwei Serverrollen: Clientzugriffsserver und Postfachserver. Wenn Sie Microsoft Exchange2013 mit ESET Mail Security schützen möchten, installieren Sie ESET Mail Security auf einem Microsoft Exchange2013-Server mit Postfachserverrolle. Die Clientzugriffsserverrolle wird von ESET Mail Security nicht unterstützt.

Eine Ausnahme trifft bei der Installation von ESET Mail Security auf Windows SBS (Small Business Server) zu. BeiWindows SBS werden alle Exchange-Rollen auf dem gleichen Server ausgeführt. ESET Mail Security wird daherordnungsgemäß ausgeführt und bietet alle Schutztypen, auch die in Bezug auf den E-Mail-Server.

Wenn Sie ESET Mail Security jedoch auf einem System installieren, auf dem nur die Clientzugriffsserverrolleausgeführt wird (dedizierter CAS-Server), funktionieren die wichtigsten Funktionen von ESET Mail Security nicht,besonders die Funktionen in Bezug auf den E-Mail-Server. In diesem Fall funktionieren nur der Echtzeit-Dateischutzund bestimmte Komponenten, die Bestandteil der Funktion Computerschutz sind. Ein E-Mail-Server-Schutz istin diesem Fall nicht verfügbar. Aus diesem Grund sollte ESET Mail Security nicht auf einem Server mitClientzugriffsserverrolle installiert werden. Wie oben erläutert trifft dies nicht auf Windows SBS (Small BusinessServer) zu.

HINWEIS: Aufgrund bestimmter technischer Einschränkungen in Microsoft Exchange 2013 unterstützt ESET MailSecurity nicht die Clientzugriffsserverrolle (CAS).

2.7 Cluster-Installation

Ein Cluster ist eine Gruppe von Servern, die zusammen einen einzigen Server bilden. Ein mit dem Clusterverbundener Server heißt „Knoten“. Diese Art der Umgebung bietet hohe Verfügbarkeit und Zuverlässigkeit für diebereitgestellten Dienste. Wenn einer der Knoten in einem Cluster ausfällt oder kein Zugriff mehr möglich ist,übernimmt automatisch ein anderer Knoten im Cluster seine Aufgaben. ESET Mail Security unterstützt MicrosoftExchange Server-Cluster in vollem Umfang. Für den ordnungsgemäßen Betrieb von ESET Mail Security, muss jederKnoten in einem Cluster gleich konfiguriert sein. Dies gelingt beispielsweise mit einer ESET Remote Administrator-Policy (ERA-Policy). In den nachfolgenden Kapiteln wird beschrieben, wie ESET Mail Security mithilfe von ERA aufServern in einem Cluster installiert und konfiguriert wird.

Installation

In diesem Kapitel wird die Push-Installation beschrieben, die allerdings nicht die einzige Installationsmethode aufdem Zielcomputer ist. Weitere Informationen zu zusätzlichen Installationsmethoden finden Sie im ESET RemoteAdministrator-Benutzerhandbuch.

1. Laden Sie das msi-Installationspaket für ESET Mail Security von der ESET-Website auf den Computer herunter, aufdem ERA installiert ist. Klicken Sie in ERA auf der Registerkarte > Remoteinstallation > Computer mit der rechtenMaustaste auf einen der aufgelisteten Computer und wählen Sie aus dem Kontextmenü Pakete verwalten.Wählen Sie aus der Liste Typ die Option Paket mit ESET Security-Produkt und klicken Sie auf Hinzufügen. Suchen

59

14

Sie unter Quelle das heruntergeladene ESET Mail Security-Installationspaket und klicken Sie auf Erstellen.

2. Klicken Sie unter Konfiguration für dieses Paket bearbeiten/auswählen auf Bearbeiten und konfigurieren Siedie Einstellungen von ESET Mail Security nach Ihren Bedürfnissen. ESET Mail Security-Einstellungsoptionenbefinden sich in den folgenden Bereichen: ESET Smart Security, ESET NOD32 Antivirus > E-Mail-Server-Schutzund E-Mail-Server-Schutz für Microsoft Exchange Server. Sie können außerdem die Parameter anderer ESET MailSecurity-Module konfigurieren (Updates, Prüfen des Computers usw.). Es empfiehlt sich, die konfiguriertenEinstellungen in eine XML-Datei zu exportieren, die Sie später z. B. beim Erstellen eines Installationspakets oderbeim Anwenden eines Konfigurationstasks oder einer Policy verwenden können.

3. Klicken Sie auf Schließen. Wählen Sie im nächsten Dialogfenster (Möchten Sie die Pakete auf dem Serverspeichern?) die Option Ja und geben Sie den Namen des Installationspakets ein. Das fertige Installationspaket (mitName und Konfiguration) wird auf dem Server gespeichert. Dieses Paket wird vorrangig für eine Push-Installationverwendet, es kann aber auch als Standard-msi-Installationspaket gespeichert und für eine Direktinstallation aufdem Server verwendet werden (Installationspaket-Editor > Speichern unter).

4. Das Installationspaket ist nun bereit und Sie können die Remoteinstallation auf den Cluster-Knoten starten.Unter ERA > Remoteinstallation > Computer können Sie die Knoten auswählen, auf denen Sie ESET Mail Securityinstallieren möchten (Strg + Linksklick oder Umschalttaste + Linksklick). Klicken Sie mit der rechten Maustaste aufeinen der ausgewählten Computer und wählen Sie im Kontextmenü Push-Installation. Geben Sie mit denSchaltflächen Festlegen/Für alle festlegen den Benutzernamen und das Passwort von einem Benutzer desZielcomputers an. Dieser Benutzer muss Administratorrechte besitzen. Klicken Sie auf Weiter, um dasInstallationspaket auszuwählen. Klicken Sie auf Fertig stellen, um die Remoteinstallation zu starten. DasInstallationspaket mit ESET Mail Security und Ihrer benutzerdefinierten Konfiguration wird auf den ausgewähltenZielcomputern/Knoten installiert. Bereits nach kurzer Zeit werden die Clients, auf denen nun ESET Mail Securityinstalliert ist, in der Registerkarte ERA > Clients angezeigt. Sie können die Clients jetzt zentral verwalten.

HINWEIS: Für einen reibungslosen Installationsprozess müssen sowohl die Zielcomputer als auch der ERA-Serverbestimmte Bedingungen erfüllen. Weitere Informationen finden Sie im ESET Remote Administrator-Benutzerhandbuch.

Konfiguration

Für den ordnungsgemäßen Betrieb von ESET Mail Security auf Knoten in einem Cluster muss jeder Knoten ständiggleich konfiguriert sein. Mit einer Push-Installation wie oben beschrieben ist diese Bedingung erfüllt. Es bestehtallerdings die Möglichkeit, dass die Konfiguration versehentlich geändert wird und so Inkonsistenzen zwischenESET Mail Security-Produkten in einem Cluster entstehen. Dies können Sie vermeiden, indem Sie in ERA eine Policyanwenden. Eine Policy ist fast identisch mit einem Standard-Konfigurationstask: Sie sendet die imKonfigurationseditor angelegte Konfiguration an den bzw. die Clients. Eine Policy unterscheidet sich von einemKonfigurationstask dahingehend, dass sie ständig auf dem Client angewendet wird. Bei einer Policy handelt es sichalso um eine Konfiguration, deren Durchsetzung regelmäßig auf dem Client bzw. einer Gruppe von Clientserzwungen wird.

Unter ERA > Tools > Policy-Manager finden Sie eine Reihe von Optionen für die Verwendung einer Policy. Dieeinfachste Möglichkeit ist die Anwendung der Übergeordneten Standardpolicy, die auch allgemein alsStandardpolicy für primäre Clients dient. Diese Art von Policy wird automatisch auf allen aktuell verbundenenClients verwendet (in diesem Fall auf allen ESET Mail Security-Produkten in einem Cluster). Sie können die Richtliniekonfigurieren, indem Sie auf Bearbeiten klicken oder eine vorhandene Konfiguration aus einer xml-Dateiverwenden, sofern Sie diese bereits erstellt haben.

Die zweite Möglichkeit ist das Erstellen einer neuen Policy (Neue untergeordnete Policy hinzufügen), der Sie mitder Option Clients hinzufügen alle ESET Mail Security-Produkte zuweisen können.

Mit dieser Konfiguration stellen Sie sicher, dass auf allen Clients dieselbe Policy mit denselben Einstellungenverwendet wird. Wenn Sie die bestehenden Einstellungen eines ESET Mail Security-Servers in einem Cluster ändernmöchten, genügt es, die aktuelle Policy zu bearbeiten. Die Änderungen werden auf allen Clients, die dieser Policyzugewiesen sind, übernommen.

HINWEIS: Weitere Informationen zu Policys finden Sie im ESET Remote Administrator-Benutzerhandbuch.

15

2.8 Lizenz

Ein wichtiger Schritt ist die Eingabe der Lizenzdatei für ESET Mail Security für Microsoft Exchange Server. Ohne siefunktioniert der E-Mail-Schutz auf dem Microsoft Exchange Server nicht ordnungsgemäß. Wenn Sie die Datei nichtwährend der Installation hinzufügen, können Sie dies später in den erweiterten Einstellungen unter Allgemein >Lizenzen nachholen.

Mit ESET Mail Security können Sie mehrere Lizenzen gleichzeitig nutzen, indem Sie sie, wie im Folgendenbeschrieben, zusammenführen:

1) Mindestens zwei Lizenzen eines Kunden (d. h. Lizenzen unter demselben Kundennamen) werdenzusammengeführt; dementsprechend steigt die Zahl der zu prüfenden Postfächer. Im Lizenzmanager werdenweiterhin beide Lizenzen angezeigt.

2) Zwei oder mehr Lizenzen von verschiedenen Kunden werden zusammengeführt. Der Vorgang ist der derselbe wieim (oben genannten) ersten Beispiel, allerdings muss mindestens eine der betreffenden Lizenzen ein bestimmtesAttribut aufweisen. Dieses Attribut ist erforderlich, um die Lizenzen verschiedener Kunden zusammenzuführen.Eine solche Lizenz kann Ihr zuständiger ESET-Vertriebspartner auf Anfrage für Sie erzeugen.

HINWEIS: Die Gültigkeitsdauer der neu erstellten Lizenz wird von dem nächsten Ablaufdatum der ursprünglichenLizenzen bestimmt.

ESET Mail Security für Microsoft Exchange Server (EMSX) vergleicht die Anzahl der Postfächer für das ActiveDirectory mit der Anzahl der Lizenzen. Das Active Directory jedes Microsoft-Exchange-Servers wird geprüft, um dieGesamtzahl der Postfächer zu ermitteln. System-Postfächer, deaktivierte Postfächer und Aliasadressen werdennicht gezählt. In einem Cluster werden Knoten, die als Cluster-Postfach dienen, nicht gezählt.

Unter Active Directory-Benutzer und -Computer auf dem Server können Sie sehen, über wie viele Postfächer Sieverfügen, für die Exchange aktiviert ist. Klicken Sie mit der rechten Maustaste auf die Domäne und dann auf Suchen. Wählen Sie aus der Liste Suchen die Benutzerdefinierte Suche und klicken Sie auf die RegisterkarteErweitert. Fügen Sie die folgende LDAP-Anfrage (Lightweight Directory Access Protocol) ein und klicken Sie aufJetzt suchen:

(&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(!(name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(!userAccountControl:1.2.840.113556.1.4.803:=2))

16

Wenn die Anzahl der Postfächer in Ihrem Active Directory die Anzahl Ihrer Lizenzen übersteigt, wird folgendeMeldung in der Log-Datei Ihres Microsoft Exchange Servers protokolliert: „Schutzstatus geändert. Grund: Anzahlder Postfächer (Anzahl) übersteigt Anzahl der Postfachlizenzen (Anzahl).“ Ihr ESET Mail Security wird Sie außerdemmit einer Änderung der Symbolfarbe des Schutzstatus auf Orange und einer Meldung informieren, dass der Schutznach 42 Tagen deaktiviert wird. Wenden Sie sich an Ihren Verkaufsberater, um zusätzliche Lizenzen zu erwerben,wenn Sie diese Meldung erhalten.

Wenn die 42 Tage vergangen sind und Sie die geforderten Lizenzen für Ihre überzähligen Postfächer nicht erworbenhaben, wechselt Ihr Schutzstatus auf Rot. Dies bedeutet, dass der Schutz Ihres Systems deaktiviert wurde.Wenden Sie sich umgehend an Ihren Verkaufsberater, um zusätzliche Lizenzen zu erwerben, wenn Sie dieseMeldung erhalten.

17

2.9 Konfiguration nach der Installation

Nach der Installation des Produkts müssen mehrere Optionen konfiguriert werden.

Einstellungen für Spam-Schutz

In diesem Abschnitt werden die Einstellungen, Methoden und Techniken des Spam-Schutzes für Ihr Netzwerkbeschrieben. Lesen Sie die folgenden Schritte sorgfältig durch, bevor Sie die für Ihr Netzwerk passende Kombinationder Einstellungen wählen.

Spam-Verwaltung

Für wirksamen Spam-Schutz müssen Sie festlegen, wie mit als Spam markierten E-Mails verfahren werden soll.

Hierfür stehen drei Optionen zur Verfügung:

1. Spam löschenDank der angemessen strengen Kriterien, die eine Nachricht erfüllen muss, um von ESET Mail Security als Spameingestuft zu werden, sinkt die Wahrscheinlichkeit, dass rechtmäßige E-Mails gelöscht werden. Je eindeutiger Siedie Spam-Schutz-Einstellungen festlegen, desto weniger wahrscheinlich ist es, dass rechtmäßige E-Mailsgelöscht werden. Zu den Vorteilen dieser Methode gehört, dass die Systemressourcen kaum belastet werden undder Verwaltungsaufwand geringer ist. Nachteilig ist, dass eine gelöschte rechtmäßige E-Mail nicht lokalwiederhergestellt werden kann.

2. QuarantäneMit dieser Option ist ausgeschlossen, dass rechtmäßige E-Mails gelöscht werden. Gelöschte E-Mails könnenwiederhergestellt und den ursprünglichen Empfängern sofort zugesendet werden. Nachteilig ist, dass dieSystemressourcen stärker belastet werden und die Wartung der E-Mail-Quarantäne zusätzlich Zeit kostet. Esgibt zwei Methoden der E-Mail-Quarantäne:

A. Die interne Quarantäne auf einem Exchange-Server (nur für Microsoft Exchange Server 2007/2010):– Für die interne Server-Quarantäne muss das Feld Zentrale Quarantäne für Nachrichten im rechten Teildes Fensters für die erweiterten Einstellungen (unter Server-Schutz > Quarantäne für Nachrichten) leersein. Außerdem muss die Option Nachricht in Quarantäne des E-Mail-Servers verschieben in der Listeunten ausgewählt sein. Diese Methode funktioniert nur, wenn der Exchange-Servers über eine interneQuarantäne verfügt. Standardmäßig ist die interne Quarantäne bei Microsoft Exchange Server deaktiviert.Zum Aktivieren der Funktion müssen Sie folgenden Befehl in der Exchange-Verwaltungsshell eingeben: Set-ContentFilterConfig -QuarantineMailbox [email protected] (geben Sie statt [email protected] das Postfach ein, das Microsoft Exchange Server als internesQuarantäne-Postfach verwenden soll, z. B. [email protected] B. Benutzerdefiniertes Quarantäne-Postfach:– ESET Mail Security verschiebt alle neuen Spam-Mails in das Postfach, das Sie im Feld ZentraleQuarantäne für Nachrichten festlegen.

Weitere Informationen zur Quarantäne und anderen Verwaltungsmethoden finden Sie im Kapitel Quarantäne für Nachrichten .

3. Spam weiterleiten Spam-Mails werden an ihre Empfänger weitergeleitet. ESET Mail Security schreibt jedoch die Spam-Wahrscheinlichkeit (SCL) in die entsprechende MIME-Kopfzeile jeder Nachricht. Je nach Höhe des SCL-Wertesführt der intelligente Nachrichtenfilter des Exchange-Servers die entsprechende Aktion aus.

Spam filtern

25

mailto:[email protected]



18

GreylistingDie Greylisting-Methode schützt Benutzer folgendermaßen vor Spam: Der Transport-Agent sendet einen SMTP-Rückgabewert „vorübergehend abgelehnt“ (standardmäßig 451/4.7.1) für jede E-Mail von einem nicht erkanntenAbsender. Ein rechtmäßiger Server unternimmt daraufhin einen erneuten Zustellversuch. Spam-Server sendengewöhnlich kein zweites Mal, da sie Tausende von E-Mail-Adressen abarbeiten müssen und diese zeitraubendeAktion daher unterlassen.

Beim Prüfen des Absenders berücksichtigt diese Technik die AntispamBypass-Einstellungen für das Postfach desEmpfängers sowie die Einstellungen für folgende Listen auf dem Exchange-Server: Freigegebene IP-Adressen,Ignorierte IP-Adressen, Sichere Absender und IP-Adressen zulassen. Die Greylisting-Funktion muss sorgfältigeingerichtet sein, anderenfalls können Störungen in der Ausführung (z. B. Verzögerungen beim Sendenrechtmäßiger Nachrichten) auftreten. Diese negativen Folgen des Greylistings treten immer seltener auf, je mehrvertrauenswürdige Verbindungen in die interne Positivliste aufgenommen werden. Wenn Ihnen Greylistingunbekannt ist oder die Nachteile dieser Methode nicht akzeptabel sind, sollten Sie sie in den erweitertenEinstellungen deaktivieren (Spam-Schutz > Microsoft Exchange Server > Transport-Agent > Greylistingaktivieren).

Falls Sie nur die Basisfunktionen des Produkts testen und auf die Konfiguration der erweiterten Funktion verzichtenmöchten, empfiehlt es sich ebenfalls, Greylisting zu deaktivieren.

HINWEIS: Die Greylisting-Technik erhöht den Spam-Schutz, ohne die Spam-Erkennung des Spam-Schutz-Modulszu beeinflussen.

Einstellungen für Virenschutz

QuarantäneJe nach dem gewählten Säuberungsmodus empfiehlt es sich, eine Aktion für infizierte (nicht gesäuberte)Nachrichten zu konfigurieren. Dies geschieht in den erweiterten Einstellungen unter Server-Schutz > Viren- undSpyware-Schutz > Microsoft Exchange Server > Transport-Agent.

Ist die Option aktiviert, mit der E-Mails in die Quarantäne verschoben werden, muss die Quarantäne unter Server-Schutz > Quarantäne für Nachrichten in den erweiterten Einstellungen konfiguriert werden.

LeistungWenn möglich, sollte die Anzahl der ThreatSense-Module unter erweiterte Einstellungen (F5) > Computer-Schutz >Viren- und Spyware-Schutz > Leistung nach folgender Formel erhöht werden: Anzahl der ThreatSense-Prüfmodule =(Anzahl der physischen Prozessoren x 2) + 1. Die Anzahl der Prüfungs-Threads und die Anzahl der ThreatSense-Prüfenginessollten gleich sein. Unter Server-Schutz > Viren- und Spyware-Schutz > Microsoft Exchange Server > VSAPI >Leistung können Sie die Anzahl der Prüfmodule festlegen. Beispiel:

Angenommen, Sie besitzen einen Server mit 4 physischen Prozessoren. Die beste Leistung erreichen Sie also nachder oben genannten Formel mit 9 Prüfungs-Threads und 9 Prüfengines.

HINWEIS: Der zulässige Wert liegt zwischen 1 und 20, d. h. Sie können maximal 20 ThreatSense-Prüfmoduleverwenden. Die Änderung wird erst nach einem Neustart wirksam.

HINWEIS: Es wird empfohlen, die gleiche Anzahl Prüfungs-Threads und ThreatSense-Prüfmodule zu verwenden.Die Leistung des Programms ändert sich nicht, wenn Sie mehr Prüfungs-Threads als Prüfmodule festlegen.

HINWEIS: Wenn Sie ESET Mail Security auf einem Windows-Server verwenden, der als Terminalserver eingerichtetist, und vermeiden möchten, dass die Benutzeroberfläche von ESET Mail Security bei jeder Anmeldung einesBenutzers gestartet wird, folgen Sie den im Kapitel Deaktivieren der Benutzeroberfläche auf Terminalserverbeschriebenen Schritten.

122

19

3. ESET Mail Security – Schutz für Microsoft Exchange ServerESET Mail Security bietet starken Schutz für Ihren Microsoft-Exchange-Server. Es gibt drei grundsätzlicheSchutzarten: den Virenschutz, den Spam-Schutz und die Anwendung benutzerdefinierter Regeln. ESET MailSecurity schützt Ihr System vor Schadsoftware, darunter mit Würmern oder Trojanern infizierte E-Mail-Anlagen,mit bösartigen Skripten versehene Dokumente sowie Phishing-Mails und Spam. ESET Mail Security filtert dieSchadsoftware auf dem E-Mail-Server, also bevor die infizierte Nachricht im Posteingang des empfangenden E-Mail-Programms ankommt. In den folgenden Kapiteln werden die Optionen und Einstellungen beschrieben, mitdenen Sie den Schutz Ihres Exchange-Servers auf Ihre Bedürfnisse einstellen können.

3.1 Allgemeine Einstellungen

In diesem Abschnitt wird beschrieben, wie Sie Regeln, Log-Dateien, die Nachrichtenquarantäne undLeistungsparameter verwalten können.

3.1.1 Microsoft Exchange Server

3.1.1.1 VSAPI (Virus-Scanning Application Programming Interface)

Microsoft Exchange Server verfügt über eine Technik, mit der Sie sicherstellen können, dass jeder Teil einerNachricht auf Schadsoftware in der aktuellen Signaturdatenbank geprüft wird. Wurde eine E-Mail bisher nichtüberprüft, so werden die entsprechenden Komponenten an das Prüfmodul gesendet, bevor die E-Mail für den Clientfreigegeben wird. Jede unterstützte Version von Microsoft Exchange Server (2000/2003/2007/2010) verfügt übereine andere VSAPI-Version.

Mit dem Kontrollkästchen können Sie den automatischen Start der VSAPI-Version aktivieren/deaktivieren, die IhrExchange-Server verwendet.

3.1.1.2 Transport-Agent

In diesem Bereich können Sie den automatischen Start und die Ladepriorität des Transport-Agenten konfigurieren.Ab Microsoft Exchange Server 2007 können Sie nur dann einen Transport-Agenten installieren, wenn der Servereine dieser zwei Rollen übernimmt: Edge-Transport oder Hub-Transport.

HINWEIS: Für Microsoft Exchange Server 5.5 (VSAPI 1.0) ist der Transport-Agent nicht verfügbar.

20

Im Menü Agentenpriorität einrichten können Sie die Priorität für ESET Mail Security-Agenten festlegen. DerZahlenbereich der Agentenpriorität ist abhängig von der Microsoft Exchange Server-Version (je kleiner die Zahl,desto höher die Priorität).

Spam-Wahrscheinlichkeit (SCL) auf Basis von Spam-Score in den Header geprüfter Nachrichten schreiben –Die SCL ist ein normalisierter Wert, der einer E-Mail hinzugefügt wird und der die Wahrscheinlichkeit bezeichnet,mit der diese E-Mail Spam ist (aufgrund der Eigenschaften des E-Mail-Headers, ihres Betreffs und Inhalts usw.). DerWert 0 bedeutet, dass die E-Mail höchstwahrscheinlich kein Spam ist; der Wert 9 dagegen bedeutet, dass es sichsehr wahrscheinlich um Spam handelt. SCL-Werte können vom intelligenten Nachrichtenfilter (auch: Inhaltsfilter-Agent) von Microsoft Exchange Server weiterverarbeitet werden. Weitere Informationen finden Sie in derDokumentation zu Microsoft Exchange Server.

Option Beim Löschen von Nachrichten SMTP-Reject als Antwort senden:

Bleibt das Kontrollkästchen deaktiviert, sendet der Server die SMTP-Antwort „OK“ an den MTA (Mail TransferAgent) des Absenders. Diese hat das Format „250 2.5.0 – Requested mail action okay, completed“ (AngeforderteE-Mail-Aktion OK, abgeschlossen). Anschließend wird die Nachricht ohne weitere Mitteilung verworfen.Ist die Option aktiviert, wird ein SMTP-Reject zurück an den Absender-MTA gesendet. Sie können eineAntwortmeldung in folgendem Format verfassen:

Primärer Antwortcode Ergänzender Statuscode Beschreibung

250 2.5.0 Angeforderte E-Mail-Aktion OK, abgeschlossen

451 4.5.1 Angeforderte Aktion abgebrochen: lokalerVerarbeitungsfehler

550 5.5.0 Angeforderte Aktion unterlassen: Postfach nichtverfügbar

Warnung: SMTP-Antworten mit falscher Syntax können zu Fehlern in der Ausführung der Programmkomponentenund einer Beeinträchtigung ihrer Effizienz führen.

HINWEIS: Für die Konfiguration von SMTP-Rejects können Sie auch Systemvariablen verwenden.

21

3.1.2 Regeln

Über den Menübefehl Regeln können Sie als Administrator manuell Filterbedingungen für E-Mails definieren undAktionen damit verknüpfen. Eine Regel besteht aus einer Kombination von Bedingungen. Die einzelnenBedingungen werden mit einem logischen UND verknüpft; eine Regel wird also nur dann angewendet, wenn alledarin enthaltenen Bedingungen erfüllt sind. Die Spalte Anzahl (neben jedem Regelnamen) zeigt an, wie oft dieRegel erfolgreich ausgeführt wurde.

Die Überprüfung der Nachrichten mit Anwendung der Regeln erfolgt durch den Transport-Agenten (TA) oder VSAPI.Sind sowohl TA als auch VSAPI aktiviert und die E-Mail erfüllt die Regelbedingungen, kann sich der Regel-Zähler um2 oder mehr erhöhen. Grund dafür ist, dass VSAPI die Regeln für alle E-Mail-Komponenten, die unabhängigvoneinander geprüft werden (Body, Anlage), einzeln anwendet. Darüber hinaus kommen die Regeln auch bei derHintergrundprüfung (z. B. regelmäßige Prüfung der Postfächer nach Update der Signaturdatenbank) zum Einsatz,was den Regel-Zähler steigen lassen kann.

Hinzufügen... – Hinzufügen einer neuen RegelBearbeiten ... – Bearbeiten einer bestehenden RegelEntfernen – Entfernen der ausgewählten RegelLeeren – Zurücksetzen des Regel-Zählers (d. h. die Spalte „Treffer“)Nach oben – Verschieben einer ausgewählten Regel nach oben in der ListeNach unten – Verschieben einer ausgewählten Regel nach unten in der Liste

Wenn Sie das Kontrollkästchen links neben dem Namen einer Regel deaktivieren, wird diese Regel deaktiviert. Mitdem Setzen des Häkchens können Sie die Regel bei Bedarf wieder aktivieren.

HINWEIS: Bei der Konfiguration der Regeln können Sie auch Systemvariablen verwenden (z. B. %PATHEXT%).

HINWEIS: Wird eine neue Regel hinzugefügt oder eine bestehende Regel bearbeitet, beginnt automatisch eineerneute E-Mail-Prüfung nach den neuen/geänderten Regeln.

22

3.1.2.1 Neue Regeln hinzufügen

Dieser Assistent unterstützt Sie beim Erstellen individueller Regeln mit kombinierten Bedingungen.

HINWEIS: Nicht alle Bedingungen werden bei der Prüfung durch den Transport-Agenten (TA) berücksichtigt.

Nach Zielpostfach – Es wird der Name eines Postfachs überprüft (VSAPI)Nach Empfänger – Es wird der Empfänger einer Nachricht überprüft (VSAPI und TA)Nach Absender – Es wird der Absender einer Nachricht überprüft (VSAPI und TA)Nach Betreff – Es wird der Betreff einer Nachricht überprüft (VSAPI und TA)Nach Nachrichtentext – Es wird der Nachrichtentext einer Nachricht überprüft (VSAPI)Nach Dateiname der Anlage – Es werden nur Nachrichten mit einem bestimmten Dateinamen überprüft (VSAPIbei Exchange 2000 und 2003, VSAPI + TA bei Exchange 2007 und 2010).Nach Größe der Anlage – Es werden nur Nachrichten überprüft, deren Anhang eine bestimmte Größeüberschreitet (VSAPI bei Exchange 2000 und 2003, VSAPI + TA bei Exchange 2007 und 2010).Nach Häufigkeit des Auftretens – Es wird überprüft, ob Objekte (Nachrichtentext oder Anlage) in einerbestimmten Zeitspanne öfter als festgelegt eingehen (VSAPI). Dies ist besonders nützlich, wenn Sie ständigSpam-Mails mit dem gleichen Text oder der gleichen Anlage erhalten.Nach Anlagentyp – Es wird überprüft, ob die Nachricht eine Anlage eines bestimmten Dateityps enthält. (Dertatsächliche Dateityp wird dabei unabhängig von der verwendeten Dateierweiterung erkannt.) (VSAPI)

Beim Definieren einer Bedingung der genannten Typen (außer Nach Größe der Anlage) wird standardmäßig auchnach Wortbestandteilen gesucht (Option Nur ganze Wörter ist deaktiviert). Es wird nicht nach Groß- undKleinschreibung unterschieden (Option Groß-/Kleinschreibung berücksichtigen ist deaktiviert). Falls der Suchtextnicht vollständig aus alphanumerischen Zeichen besteht, setzen Sie ihn in Klammern/Anführungszeichen. Siekönnen auch mehrere Suchwörter mit den logischen Operatoren AND, OR und NOT verknüpfen.

HINWEIS: Welche Regeln verfügbar sind, hängt davon ab, welche Version von Microsoft Exchange Server installiertist.

HINWEIS: Microsoft Exchange Server 2000 (VSAPI 2.0) prüft nur den angezeigten Namen des Absenders/Empfängers, nicht die E-Mail-Adresse. E-Mail-Adressen werden ab Microsoft Exchange Server 2003 (VSAPI 2.5)geprüft.

Beispiel für Bedingungen

Nach Zielpostfach: schmidt

Nach Absender: [email protected]

Nach Empfänger: „H. Schmidt“ oder „[email protected]“

Nach Betreff: " "

Nach Dateiname derAnlage:

„.com“ OR „.exe“

23

Nach Nachrichtentext: („kostenlos“ OR „lotterie“) AND („gewinnen“ OR „kaufen“)

3.1.2.2 Aktionen bei Anwendung einer Regel

In diesem Bereich können Sie Aktionen für Nachrichten und/oder Anlagen wählen, die die Bedingungen derentsprechenden Regeln erfüllen. Sie können „Keine Aktion“ wählen, die Nachricht so markieren, als ob sie eineBedrohung/Spam enthielte, oder die gesamte Nachricht löschen. Erfüllt eine Nachricht oder ihre Anlage dieBedingungen einer Regel, wird sie standardmäßig nicht von den Viren- und Spam-Schutz-Modulen geprüft. EinePrüfung findet allerdings statt, wenn die entsprechenden Kontrollkästchen unten in der Liste aktiviert werden (dieausgeführte Aktion hängt ab von den Einstellungen des Viren-/Spam-Schutzes).

Keine Aktion – Es wird keine Aktion mit der Nachricht ausgeführtAktion für nicht entfernte Bedrohung – Die Nachricht wird so markiert, als ob sie eine nicht entfernteBedrohung enthielte (unabhängig davon, ob dies tatsächlich der Fall ist).Als Spam behandeln – Die Nachricht wird so markiert, als ob es sich um Spam handeln würde (unabhängigdavon, ob dies tatsächlich der Fall ist). Diese Option kann nur ausgeführt werden, wenn der Spamschutzaktiviert ist und die Aktion auf der Ebene des Transport-Agenten ausgeführt wird. Andernfalls wird die Aktionnicht ausgeführt.Nachricht löschen – Die gesamte Nachricht mit allen Inhalten, die die Bedingungen erfüllen, wird gelöscht.Diese Aktion funktioniert nur unter VSAPI 2.5 und höheren Versionen. (Unter VSAPI 2.0 und bei älteren Versionenkann die Aktion nicht ausgeführt werden.)

Datei in Quarantäne verschieben – Anhänge, die die Regelkriterien erfüllen, werden in die Quarantäne vonESET Mail Security verschoben. Dies ist nicht mit der E-Mail-Quarantäne zu verwechseln. (Weitere Informationenzur E-Mail-Quarantäne finden Sie im Kapitel Nachrichtenquarantäne .)Datei zur Analyse einreichen – Verdächtige Anlagen werden ESET zur Analyse zugesendetEreignismeldung senden – An den Administrator wird eine Meldung gesendet (gemäß den Einstellungen unterTools > Warnungen und Hinweise)In Log schreiben – Angaben zur angewendeten Regel werden in das Programm-Log geschriebenWeitere Regeln auswerten – Mit der Auswertung weiterer Regeln kann der Benutzer verschiedene Sätze vonBedingungen definieren und entsprechende Aktionen festlegenMit Viren- und Spyware-Schutz prüfen – Die Nachricht und ihre Anlagen werden auf Bedrohungen geprüftMit Spam-Schutz prüfen – Die Nachricht wird auf Spam geprüft

HINWEIS: Diese Option steht nur ab Microsoft Exchange Server 2000 mit aktiviertem Transport-Agenten zurVerfügung.

Im letzten Schritt des Assistenten zum Erstellen einer neuen Regel geben Sie jeder Regel einen Namen. Sie könnenauch einen Kommentar eintragen. Diese Informationen werden in der Log-Datei von Microsoft Exchange Servergespeichert.

36

25

24

3.1.3 Log-Dateien

Mit den Einstellungen für Log-Dateien können Sie wählen, was in der Datei enthalten sein soll. Ein sehr detailliertesProtokoll ist zwar informativer, kann aber die Serverleistung beeinträchtigen.

Wenn die Option Synchron ohne Cache schreiben aktiviert ist, werden alle Log-Einträge sofort in die Log-Dateigeschrieben und nicht gepuffert. Standardmäßig speichern auf einem Exchange-Server installierte ESET MailSecurity-Komponenten Meldungen in ihrem internen Cache und senden sie in regelmäßigen Abständen an die Log-Datei der Anwendung, um die Systemleistung zu erhalten. In diesem Fall kann es jedoch dazu kommen, dassDiagnosedaten nicht in der korrekten Reihenfolge im Log protokolliert werden. Es wird empfohlen, dieseEinstellung nicht zu aktivieren, es sei denn, es ist nötig für eine Diagnose. Im Menü Inhalt können Sie die Art der inden Log-Dateien gespeicherten Informationen festlegen.

Regelanwendung in Log schreiben – Wenn diese Option aktiviert ist, protokolliert ESET Mail Security dieNamen der aktivierten Regeln in der Log-Datei.

Spam-Score in Log schreiben – Mit dieser Option werden Aktivitäten in Verbindung mit Spam im Spam-Schutz-Log protokolliert. Empfängt der Server eine Spam-Mail, werden alle damit verbundenen Informationen (z. B.Uhrzeit/Datum, Absender, Empfänger, Betreff, Spam-Score, Grund und Aktion) in das Log geschrieben. Dies isthilfreich, um herauszufinden, welche Spam-Mails empfangen wurden und wann welche Aktion gestartet wurde.

Greylisting-Aktivität in Log schreiben – Aktivieren Sie diese Option, wenn Aktivitäten in Verbindung mitGreylisting im Greylisting-Log protokolliert werden sollen. Die Datei enthält Informationen wie Uhrzeit/Datum, HELO-Domain, IP-Adresse, Absender, Empfänger, Aktion usw.HINWEIS: Dies funktioniert nur, wenn Greylisting in den Optionen für den Transport-Agenten aktiviert ist.Siehe erweiterte Einstellungen (F5) > Server-Schutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent.

Performance in Log schreiben – Mit dieser Option werden Informationen zum Intervall des ausgeführten Tasks,der Größe des geprüften Objekts, die Übertragungsrate (kB/s) und der Leistungswert protokolliert.

Diagnoseinformationen in Log schreiben – Mit dieser Option werden Diagnosedaten für die Feineinstellung desProgramms protokolliert; sinnvoll hauptsächlich zur Fehlersuche und -behebung. Es wird nicht empfohlen, dieseOption zu aktivieren. Damit die Diagnosedaten, die diese Option bietet, angezeigt werden, müssen Sie unter Tools > Log-Dateien die Einstellung Mindestinformation in Logs auf Diagnosedaten setzen.

96

96

37

25

3.1.4 Quarantäne für Nachrichten

Das Postfach Quarantäne für Nachrichten ist ein besonderes, vom Systemadministrator eingerichtetes Postfachfür potenziell infizierte Nachrichten und Spam. Nachrichten in dieser Quarantäne können später mit einer neuerenSignaturdatenbank untersucht oder gesäubert werden.

Es gibt zwei Arten der Nachrichtenquarantäne.

Zum einen kann die Quarantäne auf einem Exchange-Server verwendet werden (nur für Microsoft Exchange Server2007/2010). Eine interne Funktion des Servers speichert dabei potenziell infizierte Nachrichten und Spam. Siekönnen bei Bedarf außerdem ein separates Quarantäne-Postfach (oder mehrere) für bestimmte Empfängereinrichten. So werden potenziell infizierte E-Mails, die ursprünglich an einen bestimmten Empfänger gerichtetwaren, an ein separates Quarantäne-Postfach und nicht an das interne Quarantäne-Postfach des Exchange-Serversgesendet. Dies ist für eine gründlichere Verwaltung der potenziell infizierten Nachrichten und Spam-Mails sinnvoll.

Zum anderen steht Ihnen die Option Zentrale Quarantäne für Nachrichten zur Verfügung. Wenn Sie eine frühereVersion von Microsoft Exchange Server (5.5, 2000 oder 2003) nutzen, müssen Sie das Postfach für potenziellinfizierte Nachrichten nur unter Zentrale Quarantäne für Nachrichten angeben. Die interne Quarantäne desExchange-Servers wird dann nicht verwendet. Stattdessen übernimmt ein vom Systemadministrator festgelegtesPostfach diese Aufgabe. Wie bei der ersten Option können Sie bei Bedarf ein separates Quarantäne-Postfach (odermehrere) für bestimmte Empfänger einrichten. So werden potenziell infizierte E-Mails in ein separates Postfach undnicht in die zentrale Quarantäne für Nachrichten verschoben.

Zentrale Quarantäne für Nachrichten – Hier können Sie die Adresse der zentralen Nachrichtenquarantäneangeben (z. B. [email protected]). Sie können aber auch die interne Quarantäne von MicrosoftExchange Server 2007/2010 wählen, indem Sie das Feld leer lassen und aus der Liste im unteren Bereich Nachricht in Quarantäne des E-Mail-Servers verschieben wählen (vorausgesetzt, die Exchange-Quarantäneist für Ihre Umgebung aktiviert). Die interne Exchange-Funktion verschiebt dann nach ihren Einstellungen E-Mails in die Quarantäne.HINWEIS: Standardmäßig ist die interne Quarantäne bei Microsoft Exchange Server deaktiviert. Zum Aktivierender Funktion müssen Sie folgenden Befehl in der Exchange-Verwaltungsshell eingeben: Set-ContentFilterConfig -QuarantineMailbox [email protected] (geben Sie statt [email protected] das Postfach ein, das Microsoft Exchange Server als internes Quarantäne-Postfach verwenden soll, z. B. [email protected]





26

Quarantäne nach Empfänger – Mit dieser Option können Sie Quarantäne-Postfächer für mehrere Empfängerfestlegen. Welche Quarantäneregeln verwendet werden, können Sie steuern, indem Sie das dazugehörigeKontrollkästchen aktivieren bzw. deaktivieren.

Hinzufügen... – Sie können eine neue Quarantäneregel hinzufügen, indem Sie die E-Mail-Adresse desgewünschten Empfängers sowie die E-Mail-Adresse der Quarantäne eingeben, an die die E-Mailweitergeleitet werden soll

Bearbeiten... – Ausgewählte Quarantäneregel bearbeiten

Entfernen – Löschen einer ausgewählten Quarantäneregel

Zentrale Quarantäne bevorzugen – Falls aktiv, werden Nachrichten, die mehrere Quarantäneregelnerfüllen (z. B. bei mehreren Empfängern, für die teilweise mehrere Quarantäneregeln definiert sind), andie angegebene zentrale Quarantäne gesendet

Nachrichten, die an nicht existierende Quarantäne gerichtet sind (Wenn Sie keine zentraleNachrichtenquarantäne festgelegt haben, sind für potenziell infizierte Nachrichten und Spam folgende Aktionenverfügbar:) Keine Aktion – mit der Nachricht wird wie üblich verfahren, d. h. sie wird an den Empfänger geschickt (nichtempfohlen)Nachricht löschen – die Nachricht wird gelöscht, wenn keine zentrale Quarantäne eingerichtet ist und dieNachricht an einen Empfänger gerichtet ist, für den keine Quarantäneregel festgelegt ist; d. h. alle potenziellinfizierten Nachrichten und Spam werden ohne Zwischenspeicherung automatisch gelöschtNachricht in Quarantäne des E-Mail-Servers verschieben – die Nachricht wird in die interne Quarantäne desExchange-Servers verschoben und dort gespeichert (nicht verfügbar für Microsoft Exchange Server 2003 undfrühere Versionen)

HINWEIS: Bei der Konfiguration der Einstellungen für die Nachrichtenquarantäne können Sie auch Systemvariablenverwenden (z. B. %USERNAME%).

3.1.4.1 Hinzufügen einer neuen Quarantäne-Regel

Geben Sie die E-Mail-Adresse des Empfängers und der Quarantäne in die entsprechenden Felder ein.

Wenn Sie eine E-Mail an einen Empfänger löschen möchten, für den keine Quarantäne-Regel festgelegt ist, könnenSie die Option Nachricht löschen aus dem Dropdownmenü Nachrichten, die an nicht existierende Quarantänegerichtet sind auswählen.

3.1.5 Leistung

In diesem Abschnitt können Sie einen Ordner festlegen, in dem zur Steigerung der Systemleistung temporäreDateien gespeichert werden. Wird kein Ordner angegeben, erstellt ESET Mail Security temporäre Dateien imtemporären Ordner des Systems.

HINWEIS: Es wird empfohlen, den temporären Ordner und Microsoft Exchange Server nicht auf derselbenFestplatte zu speichern, um das Risiko für E/A- und Fragmentierungsprobleme zu verringern. Wählen Sie auf keinenFall ein Wechselmedium (Diskette, USB, DVD usw.) als Speicherort für den temporären Ordner aus.

HINWEIS: Bei der Konfiguration der Leistungseinstellungen können Sie auch Systemvariablen verwenden (z. B. %SystemRoot%\TEMP).

27

3.2 Einstellungen für Viren- und Spyware-Schutz

Um den Viren- und Spyware-Schutz für E-Mail-Server zu aktivieren, wählen Sie die Option Viren- und Spyware-Schutz für Server aktivieren. Beachten Sie, dass der Viren- und Spyware-Schutz nach jedem Neustart desDienstes/Computers automatisch aktiviert ist. Die Einstellungen für ThreatSense erreichen Sie über dieSchaltfläche Einstellungen.


Für den Viren- und Spyware-Schutz stehen ESET Mail Security für Microsoft Exchange Server zwei Prüfmethodenzur Verfügung. Eine Methode prüft E-Mails mit VSAPI, die andere verwendet einen Transport-Agenten.

Der VSAPI -Schutz prüft E-Mails direkt im Speicher des Exchange-Servers.

Der Transport-Agent prüft dagegen die SMTP-Datenübertragung. Ist diese Prüfmethode aktiviert, werden alleE-Mails und ihre Komponenten während der Übermittlung geprüft, d. h. noch bevor sie den Speicher desExchange-Servers erreichen oder per SMTP gesendet werden. Die Prüfung auf dem SMTP-Server wird mit einemspeziellen Plug-In durchgeführt. Bei Microsoft Exchange Server 2000 und 2003 ist das entsprechende Plug-In(Ereignissenke) als Teil der Internetinformationsdienste (IIS) auf dem SMTP-Server registriert. Bei MicrosoftExchange Server 2007/2010 ist das Plug-In als Transport-Agent in den Rollen „Edge“ oder „Hub “ des Microsoft-Exchange-Servers registriert.

HINWEIS: Der Transport-Agent ist für alle Versionen von Microsoft Exchange Server ab 2000 verfügbar, fürMicrosoft Exchange Server 5.5 dagegen nicht.

Der Viren- und Spyware-Schutz kann gleichzeitig mit VSAPI und Transport-Agent aktiviert sein (dies ist dieStandardeinstellung, die auch empfohlen ist). Sie können allerdings auch nur eine Prüfmethode aktivieren (VSAPIoder Transport-Agent). Beide Methoden können unabhängig voneinander aktiviert oder deaktiviert werden. Fürmaximalen Viren- und Spyware-Schutz sollten Sie beide Methoden verwenden. Deaktivieren Sie nicht beidePrüfmethoden.

28

33

28

3.2.1.1 Virus-Scanning Application Programming Interface (VSAPI)

Microsoft Exchange Server verfügt über eine Technik, mit der Sie sicherstellen können, dass jeder Teil einerNachricht auf Schadsoftware in der aktuellen Signaturdatenbank geprüft wird. Wurde eine E-Mail bisher nichtüberprüft, so werden die entsprechenden Komponenten an das Prüfmodul gesendet, bevor die E-Mail für den Clientfreigegeben wird. Jede unterstützte Version von Microsoft Exchange Server (5.5/2000/2003/2007/2010) verfügtüber eine andere VSAPI-Version.

3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0)

Diese Version von Microsoft Exchange Server enthält die VSAPI-Version 1.0.

Aktivieren Sie die Option Hintergrundprüfung, um alle Nachrichten im Hintergrund prüfen zu lassen. MicrosoftExchange Server entscheidet anhand verschiedener Faktoren, ob eine Hintergrundprüfung durchgeführt wird. Zudiesen Faktoren zählen die aktuelle Systemauslastung, die Anzahl der aktiven Benutzer usw. Microsoft ExchangeServer protokolliert, welche E-Mails geprüft wurden und welche Signaturdatenbank verwendet wurde. Wenn Sieeine E-Mail öffnen, die noch nicht mit der aktuellen Signaturdatenbank geprüft wurde, wird sie von MicrosoftExchange Server an ESET Mail Security gesendet. Es findet eine Prüfung statt, bevor Sie die E-Mail in Ihrem E-Mail-Programm öffnen können.

Da eine Hintergrundprüfung das System belastet (nach jedem Update der Signaturdatenbank findet eine Prüfungstatt), sollten Prüfungen außerhalb der Arbeitszeiten stattfinden. Sie können die Hintergrundprüfung mit einemspeziellen Task starten. Wenn Sie einen Task für die Hintergrundprüfung erstellen, können Sie die Startzeit, Anzahlder Wiederholungen und andere Parameter im Taskplaner festlegen. Nach dem Erstellen des Tasks erscheint dieserin der Task-Liste. Wie bei allen anderen Tasks können Sie ihn über seine Parameter ändern, löschen odervorübergehend deaktivieren.

3.2.1.1.1.1 Aktionen

In diesem Bereich können Sie Aktionen festlegen, die ausgeführt werden sollen, wenn eine Nachricht und/oder eineAnlage als infiziert bewertet werden.

Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, das Objekt löschenoder Keine Aktion für den infizierten Inhalt wählen. Diese Aktion wird nur ausgeführt, wenn die Nachricht nichtautomatisch gesäubert wurde (siehe ThreatSense-Einstellungen > Säubern ).

Mit dem Feld Löschoptionen können Sie eine der beiden Option für die Löschmethode für Anlagen wählen:

Datei auf 0 Byte reduzieren – ESET Mail Security reduziert die Anlage auf eine Dateigröße von 0 Byte undübermittelt dem Empfänger ihren Namen und TypAnlage durch Angaben zur Aktion ersetzen – ESET Mail Security ersetzt die infizierte Datei durch einVirenprotokoll oder eine Regelbeschreibung

Klicken Sie auf Erneut prüfen, um bereits geprüfte Nachrichten und Dateien erneut zu prüfen.

3.2.1.1.1.2 Leistung

Während einer Prüfung können Sie für Microsoft Exchange Server eine zeitliche Begrenzung für das Öffnen von E-Mail-Anlagen festlegen. Den Zeitraum, bis der Client erneut versucht, auf eine Datei zuzugreifen, die zuvor geprüftwurde und damit nicht verfügbar war, können Sie im Feld Zeitbegrenzung für Antwort (ms) festlegen.

3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0)


Wenn Sie die Option Viren- und Spyware-Schutz mit VSAPI 2.0 aktivieren deaktivieren, wird das ESET MailSecurity-Plug-In für Exchange-Server nicht aus dem Exchange-Serverprozess entfernt. Vielmehr werden die E-Mailsdann lediglich weitergeleitet, ohne eine Virenprüfung vorzunehmen. Die E-Mails werden allerdings weiterhin auf Spam geprüft und auch die Regeln werden angewendet.

Wenn die Option Proaktive Prüfung aktiviert ist, werden neue eingehende E-Mails in der Reihenfolge ihresEingangs geprüft. Wenn diese Option deaktiviert ist und ein Benutzer eine noch ungeprüfte E-Mail öffnet, wirddiese Nachricht vor den anderen E-Mails in der Warteschlange geprüft.

Mit der Option Hintergrundprüfung können Sie alle Nachrichten im Hintergrund prüfen lassen. Microsoft

78

37 21

29

Exchange Server entscheidet anhand verschiedener Faktoren, ob eine Hintergrundprüfung durchgeführt wird. Zudiesen Faktoren zählen die aktuelle Systemauslastung, die Anzahl der aktiven Benutzer usw. Microsoft ExchangeServer protokolliert, welche E-Mails geprüft wurden und welche Signaturdatenbank verwendet wurde. Wenn Sieeine E-Mail öffnen, die noch nicht mit der aktuellen Signaturdatenbank geprüft wurde, wird sie von MicrosoftExchange Server an ESET Mail Security gesendet. Es findet eine Prüfung statt, bevor Sie die E-Mail in Ihrem E-Mail-Programm öffnen können.


Um E-Mails im Nur-Text-Format zu prüfen, wählen Sie die Option E-Mail-Inhalt prüfen (Format Nur-Text).

Wenn Sie die Option E-Mail-Inhalt prüfen (Format Rich-Text) aktivieren, werden RTF-Nachrichtentexte geprüft.E-Mail-Texte im Format Rich-Text können Makroviren enthalten.



Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, das Objekt löschenoder Keine Aktion für den infizierten Inhalt wählen. Diese Aktion wird nur ausgeführt, wenn die Nachricht nichtautomatisch gesäubert wurde (siehe ThreatSense-Einstellungen > Säubern ).

Mit der Option Löschoptionen können Sie die Löschmethode für Nachrichten und die Löschmethode fürAnlagen festlegen.

Für die Löschmethode für Nachrichten haben Sie folgende Möglichkeiten:

Body der Nachricht löschen – Der Inhalt der infizierten Nachricht wird gelöscht; der Empfänger erhält eine leereE-Mail und nicht infizierte AnlagenBody durch Angaben zur Aktion ersetzen – Der Body der infizierten Nachricht wird durch Informationen zuausgeführten Aktionen ersetzt

Für die Löschmethode für Anlagen haben Sie folgende Möglichkeiten:

Datei auf 0 Byte reduzieren – ESET Mail Security reduziert die Anlage auf eine Dateigröße von 0 Byte undübermittelt dem Empfänger ihren Namen und TypAnlage durch Angaben zur Aktion ersetzen – ESET Mail Security ersetzt die infizierte Datei durch einVirenprotokoll oder eine Regelbeschreibung



In diesem Bereich können Sie die Anzahl der zur gleichen Zeit und unabhängig voneinander stattfindendenPrüfungs-Threads festlegen. Auf Mehrprozessor-Computern kann eine höhere Anzahl an Threads die Prüfrateerhöhen. Um die optimale Programmleistung zu erreichen, empfehlen wir Ihnen, die gleiche Anzahl anThreatSense-Prüfengines und Threads zu verwenden.

Mit der Option Zeitbegrenzung für Antwort (s) können Sie die maximale Länge einer Prüfung für einen Threadfestlegen. Wird die Prüfung innerhalb der festgelegten Zeit nicht abgeschlossen, verweigert Microsoft ExchangeServer dem Client den Zugriff auf die E-Mail. Die Prüfung wird nicht unterbrochen; nach ihrem Ende ist der Zugriffauf die Datei jederzeit möglich.

TIPP: Mit der folgenden Formel ermitteln Sie die Anzahl der Prüfungs-Threads, die für Microsoft Exchange Serverempfohlen werden: [Anzahl der physischen Prozessoren] x 2 + 1.

HINWEIS: Eine größere Anzahl an ThreatSense-Prüfengines als an Threads erhöht die Leistung nicht merklich.

78

30

3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5)




Mit der Option Hintergrundprüfung können Sie alle Nachrichten im Hintergrund prüfen lassen. MicrosoftExchange Server entscheidet anhand verschiedener Faktoren, ob eine Hintergrundprüfung durchgeführt wird. Zudiesen Faktoren zählen die aktuelle Systemauslastung, die Anzahl der aktiven Benutzer usw. Microsoft ExchangeServer protokolliert, welche E-Mails geprüft wurden und welche Signaturdatenbank verwendet wurde. Wenn Sieeine E-Mail öffnen, die noch nicht mit der aktuellen Signaturdatenbank geprüft wurde, wird sie von MicrosoftExchange Server an ESET Mail Security gesendet. Es findet eine Prüfung statt, bevor Sie die E-Mail in Ihrem E-Mail-Programm öffnen können.



Die Option Nachrichtentransport prüfen aktiviert die Prüfung von E-Mails, die nicht auf dem lokalen Microsoft-Exchange-Server gespeichert, sondern an andere E-Mail-Server weitergeleitet werden. Der Microsoft-Exchange-Server kann als Gateway-Server eingerichtet werden, der die E-Mails auf andere E-Mail-Server verteilt. Ist dieOption für die Prüfung des Nachrichtentransports aktiviert, prüft ESET Mail Security auch die weitergeleiteten E-Mails. Diese Option ist nur verfügbar, wenn der Transport-Agent deaktiviert ist.

HINWEIS: E-Mail-Inhalte im Format Nur-Text werden nicht mit VSAPI geprüft.



Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, das Objekt löschen, dieGesamte Nachricht löschen (inklusive infizierter Inhalte) oder Keine Aktion wählen. Diese Aktion wird nurausgeführt, wenn die Nachricht nicht automatisch gesäubert wurde (siehe ThreatSense-Einstellungen > Säubern

).

Mit der Option Löschoptionen können Sie die Löschmethode für Nachrichten und die Löschmethode fürAnlagen festlegen.

Für die Löschmethode für Nachrichten haben Sie folgende Möglichkeiten:

Body der Nachricht löschen – Der Body der infizierten Nachricht wird gelöscht; der Empfänger erhält eine leereE-Mail und nicht infizierte AnlagenBody durch Angaben zur Aktion ersetzen – Der Inhalt der infizierten Nachricht wird durch Informationen zuausgeführten Aktionen ersetztGesamte Nachricht löschen – Die gesamte Nachricht wird gelöscht, einschließlich der Anlagen; Sie könnenfestlegen, welche Aktion beim Löschen von Anlagen ausgeführt werden sollen

37 21

78

31


Datei auf 0 Byte reduzieren – ESET Mail Security reduziert die Anlage auf eine Dateigröße von 0 Byte undübermittelt dem Empfänger ihren Namen und TypAnlage durch Angaben zur Aktion ersetzen – ESET Mail Security ersetzt die infizierte Datei durch einVirenprotokoll oder eine RegelbeschreibungGesamte Nachricht löschen – Die gesamte Nachricht wird gelöscht, einschließlich der Anlagen; Sie könnenfestlegen, welche Aktion beim Löschen von Anlagen ausgeführt werden sollen




Mit der Option Zeitbegrenzung für Antwort (s) können Sie die maximale Länge einer Prüfung für einen Threadfestlegen. Wird die Prüfung innerhalb der festgelegten Zeit nicht abgeschlossen, verweigert Microsoft ExchangeServer dem Client den Zugriff auf die E-Mail. Die Prüfung wird nicht unterbrochen; nach ihrem Ende ist der Zugriffauf die Datei jederzeit möglich.



3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6)




Mit der Option Hintergrundprüfung können Sie alle Nachrichten im Hintergrund prüfen lassen. MicrosoftExchange Server entscheidet anhand verschiedener Faktoren, ob eine Hintergrundprüfung durchgeführt wird. Zudiesen Faktoren zählen die aktuelle Systemauslastung, die Anzahl der aktiven Benutzer usw. Microsoft ExchangeServer protokolliert, welche E-Mails geprüft wurden und welche Signaturdatenbank verwendet wurde. Wenn Sieeine E-Mail öffnen, die noch nicht mit der aktuellen Signaturdatenbank geprüft wurde, wird sie von MicrosoftExchange Server an ESET Mail Security gesendet. Es findet eine Prüfung statt, bevor Sie die E-Mail in Ihrem E-Mail-Programm öffnen können. Sie können zwischen den Optionen Nur Nachrichten mit Dateianlage überprüfen undPrüfstufe (filterbasiert nach Eingangszeit) wählen:

Alle NachrichtenNachrichten aus dem letzten JahrNachrichten aus den letzten 6 MonatenNachrichten aus den letzten 3 MonatenNachrichten aus dem letzten MonatNachrichten aus der letzten Woche


37 21

32


HINWEIS: E-Mail-Inhalte im Format Nur-Text werden nicht mit VSAPI geprüft.



Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, ein Objekt löschen,wenn der Inhalt der Nachricht infiziert ist, eine Gesamte Nachricht löschen oder Keine Aktion wählen. DieseAktion wird nur ausgeführt, wenn die Nachricht nicht automatisch gesäubert wurde (siehe ThreatSense-Einstellungen > Säubern ).

Wie oben beschrieben, haben Sie für die Option Aktion, wenn Säubern nicht möglich ist folgende Möglichkeiten:

Keine Aktion – Der infizierte Inhalt der Nachricht bleibt unverändertBlockieren –- Die Nachricht wird blockiert, bevor sie im Speicher von Microsoft Exchange Server eingehtObjekt löschen – Der infizierte Inhalt der Nachricht wird gelöschtGesamte Nachricht löschen – Die gesamte Nachricht, und damit der infizierte Inhalt, wird gelöscht

Mit der Option Löschoptionen können Sie die Löschmethode für Nachrichteninhalt und die Löschmethode fürAnlagen festlegen.

Für die Löschmethode für Nachrichteninhalt haben Sie folgende Möglichkeiten:

Body der Nachricht löschen – Der Inhalt der infizierten Nachricht wird gelöscht; der Empfänger erhält eine leereE-Mail und nicht infizierte AnlagenBody durch Angaben zur Aktion ersetzen – Der Inhalt der infizierten Nachricht wird durch Informationen zuausgeführten Aktionen ersetztGesamte Nachricht löschen – Die gesamte Nachricht wird gelöscht, einschließlich der Anlagen; Sie könnenfestlegen, welche Aktion beim Löschen von Anlagen ausgeführt werden sollen


Datei auf 0 Byte reduzieren – ESET Mail Security reduziert die Anlage auf eine Dateigröße von 0 Byte undübermittelt dem Empfänger ihren Namen und TypAnlage durch Angaben zur Aktion ersetzen – ESET Mail Security ersetzt die infizierte Datei durch einVirenprotokoll oder eine RegelbeschreibungGesamte Nachricht löschen – Die Anlage wird gelöscht

Wenn die Option VSAPI-Quarantäne verwenden aktiviert ist, werden infizierte Nachrichten in der Quarantänedes E-Mail-Servers gespeichert. Beachten Sie, dass es sich dabei um die verwaltete VSAPI-Quarantäne des Servershandelt (und nicht um die Quarantäne des Clients oder das Quarantäne-Postfach). Auf infizierte Nachrichten, die inder E-Mail-Server-Quarantäne gespeichert werden, ist kein Zugriff möglich, bis sie mit der neuestenSignaturdatenbank gesäubert werden.






78

33

3.2.1.1.5 Transport-Agent

In diesem Bereich können Sie den Viren- und Spyware-Schutz durch den Transport-Agenten aktivieren oderdeaktivieren. Ab Microsoft Exchange Server 2007 können Sie nur dann einen Transport-Agenten installieren, wennder Server eine dieser zwei Rollen übernimmt: Edge-Transport oder Hub-Transport.

Kann eine E-Mail nicht gesäubert werden, wird sie gemäß den Einstellungen für den Transport-Agenten verarbeitet.Die E-Mail kann gelöscht, in die Quarantäne verschoben oder unverändert erhalten werden.

Wenn Sie die Option Viren- und Spyware-Schutz durch Transport-Agenten aktivieren deaktivieren, wird dasESET Mail Security-Plug-In für Exchange-Server nicht aus dem Exchange-Serverprozess entfernt. Vielmehr werdendie E-Mails dann lediglich weitergeleitet, ohne eine Virenprüfung vorzunehmen. Die E-Mails werden allerdingsweiterhin auf Spam geprüft und auch die Regeln werden angewendet.

Aktivieren Sie Viren- und Spyware-Schutz durch Transport-Agenten aktivieren, um die Aktion, wenn Säubernnicht möglich ist, festzulegen:

Nachricht behalten – Erhält eine infizierte E-Mail, die nicht entfernt werden konnte, unverändertNachricht in Quarantäne verschieben – Sendet eine infizierte E-Mail an das Quarantäne-PostfachNachricht löschen – Löscht eine infizierte E-Mail

Folgenden Spam-Score (%) in den Header von Nachrichten schreiben, die eine Bedrohung enthalten – Vergibteinen festgelegten Spam-Score (d. h. die Wahrscheinlichkeit, dass es sich bei dieser E-Mail um Spam handelt) inProzent

Dies bedeutet, dass ein Spam-Score (ein festgelegter Wert in %) in die geprüfte E-Mail geschrieben wird, wenn eineBedrohung erkannt wurde. Da die meisten infizierten E-Mails über Botnetze versendet werden, müssenNachrichten, die auf diesem Wege verteilt werden, als Spam eingestuft werden. Damit dies ordnungsgemäßfunktioniert, muss die Option Spam-Wahrscheinlichkeit (SCL) auf Basis von Spam-Score in geprüfteNachrichten schreiben unter Server-Schutz > Microsoft Exchange Server > Transport-Agent aktiviert sein.

Ist die Option Auch Nachrichten prüfen, die über authentifizierte oder interne Verbindungen eingehenaktiviert, prüft ESET Mail Security auch E-Mails von authentifizierten Quellen oder lokalen Servern. Diese Art derPrüfung ist optional, wird aber empfohlen, da durch sie der Schutz weiter erhöht wird.

37 21

19

34

3.2.2 Aktionen

In diesem Bereich können Sie die ID eines Prüf-Tasks und/oder Prüfergebnisse in den Header geprüfter E-Mailsschreiben lassen.

3.2.3 Warnungen und Hinweise

Mit ESET Mail Security können Sie einen Text an den ursprünglichen Betreff oder den Body infizierter Nachrichtenanhängen.

35

Zum Body geprüfter Nachrichten hinzufügen: bietet drei Optionen:

Nicht anhängenNur an infizierte Nachrichten anhängenAn alle geprüften Nachrichten anhängen (gilt nicht für interne Nachrichten)

Wenn Sie Zum Betreff infizierter Nachrichten hinzufügen aktivieren, hängt ESET Mail Security einen Prüfhinweisan den E-Mail-Betreff an. Der Wert dieses Hinweises ist im Textfeld Text, der zur Betreffzeile infizierterNachrichten hinzugefügt wird hinterlegt (standardmäßig lautet er [Virus %VIRUSNAME%]). Die erwähnteBearbeitung kann das Filtern von infizierten E-Mails automatisieren, indem infizierte E-Mails mit einembestimmten Betreff in einem separaten Ordner abgelegt werden (falls Ihr E-Mail-Programm dies unterstützt).

HINWEIS: Im Hinweistext für den Betreff können Sie auch Systemvariablen verwenden.

3.2.4 Automatische Ausschlüsse

Die Entwickler von Server-Anwendungen und Betriebssystemen empfehlen für die meisten ihrer Produkte, kritischeArbeitsdateien und -ordner vom Virenschutz auszuschließen. Prüfungen mit einer Virenschutz-Software können dieServerleistung beeinträchtigen, zu Konflikten führen und sogar die Ausführung mancher Anwendungen auf demServer verhindern. Ausschlussfilter können beim Anwenden von Virenschutz-Software das Konfliktrisikominimieren und die Gesamtleistung des Servers steigern.

ESET Mail Security identifiziert Anwendungen und Betriebssystem-Dateien, die für den Server kritisch sind, undübernimmt sie automatisch in die Liste Ausgeschlossene Elemente. Sobald diese Elemente der Liste hinzugefügtwurden, kann über das entsprechende Kontrollkästchen der Serverprozess bzw. die Serveranwendung mitfolgendem Ergebnis aktiviert (Standard) und deaktiviert werden:

1) Bleibt eine Anwendung bzw. eine Betriebssystemdatei weiterhin ausgeschlossen, werden alle zugehörigenkritischen Dateien und Ordner zur Liste der von der Prüfung ausgeschlossenen Elemente hinzugefügt (Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente).Bei jedem Neustart des Servers werden die Ausschlüsse automatisch überprüft und alle aus der Liste gelöschtenAusschlüsse wiederhergestellt. Diese Einstellung wird empfohlen, wenn Sie sicherstellen wollen, dass dieempfohlenen automatischen Ausschlüsse immer angewendet werden.

2) Wenn der Benutzer den Ausschluss einer Anwendung bzw. eines Betriebssystems aufhebt, bleiben allezugehörigen kritischen Dateien und Ordner in der Liste der von der Prüfung ausgeschlossenen Elemente (Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente).Sie werden jedoch nicht bei jedem Neustart des Servers automatisch überprüft und in der Liste AusgeschlosseneElemente aktualisiert (siehe Punkt 1 oben). Wir empfehlen diese Einstellung fortgeschrittenen Benutzern, dieStandard-Ausschlüsse entfernen oder bearbeiten möchten. Wenn Sie Elemente aus der Ausschlussliste entfernenmöchten, ohne den Server neu zu starten, müssen Sie manuell vorgehen (Erweiterte Einstellungen >Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente).

Benutzerdefinierte Ausschlüsse, die manuell eingetragen wurden (Erweiterte Einstellungen > Computer-Schutz >Viren- und Spyware-Schutz > Ausgeschlossene Elemente), sind von den oben beschriebenen Einstellungen nichtbetroffen.

Die automatischen Ausschlüsse für Serveranwendungen bzw. Betriebssystemdateien werden nach Microsoft-Empfehlungen ausgewählt. Weitere Informationen finden Sie hier:

http://support.microsoft.com/kb/822158http://support.microsoft.com/kb/245822http://support.microsoft.com/kb/823166http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspxhttp://technet.microsoft.com/en-us/library/bb332342.aspx

http://support.microsoft.com/kb/822158



http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx

http://technet.microsoft.com/en-us/library/bb332342.aspx

36

3.3 Spam-Schutz

Im Bereich Spam-Schutz können Sie den Spam-Schutz für den installierten E-Mail-Server aktivieren/deaktivieren,die Einstellungen des Spam-Schutzes konfigurieren und andere Schutzmaßnahmen ergreifen.

HINWEIS: Um zu gewährleisten, dass das Spamschutz-Modul den bestmöglichen Schutz bietet, muss dieSpamschutz-Datenbank regelmäßig aktualisiert werden. Um das ordnungsgemäße Ausführen der regelmäßigenUpdates der Spamschutz-Datenbank zu ermöglichen, müssen Sie sicherstellen, dass ESET Mail Security aufbestimmte IP-Adressen und Ports zugreifen kann. In diesem KB-Artikel finden Sie weitere Informationen zu den IP-Adressen und Ports, die hierzu in Ihrer Firewall aktiviert werden müssen.

HINWEIS: Mirrors können nicht für die Updates der Spamschutz-Datenbank verwendet werden. Damit dieUpdates der Spamschutz-Datenbank ordnungsgemäß ausgeführt werden können, muss ESET Mail Security auf dieim oben genannten KB-Artikel aufgeführten IP-Adressen zugreifen können. Ohne Zugriff auf diese IP-Adressen kanndas Spamschutz-Modul keine akkuraten Ergebnis liefern und bietet nicht den bestmöglichen Schutz.

89

http://kb.eset.com/esetkb/index?page=content&id=SOLN332&viewlocale=en_US

37


3.3.1.1 Transport-Agent

In diesem Bereich können Sie über den Transport-Agenten die Einstellungen für den Spam-Schutz festlegen.

HINWEIS: Für Microsoft Exchange Server 5.5 ist der Transport-Agent nicht verfügbar.

Über Spam-Schutz durch Transport-Agenten aktivieren können Sie eine der folgenden Optionen als Aktion fürSpam-Mails festlegen:

Nachricht beibehalten – Erhält die Nachricht, auch wenn sie als Spam eingestuft istNachricht in Quarantäne verschieben – Sendet eine als Spam eingestufte E-Mail an das Quarantäne-PostfachNachricht löschen – Löscht eine als Spam eingestufte E-Mail

Aktivieren Sie Spam-Score in den Header geprüfter Nachrichten schreiben, um im Header der E-Mail den Spam-Score zu hinterlegen.

Über die Funktion Spam-Schutz mit Exchange Server-Positivlisten automatisch umgehen kann festgelegtwerden, dass ESET Mail Security bestimmte Exchange-Positivlisten verwendet. Wenn dies aktiviert wird, wirdFolgendes berücksichtigt:

Die IP-Adresse des sendenden Servers ist in der Liste zugelassener IP-Adressen des Exchange-Servers enthaltenDer Nachrichtenempfänger hat in seinem Postfach die Spamschutz-Umgehungsflagge gesetztBeim Nachrichtenempfänger ist die Absenderadresse in der Liste sicherer Absender enthalten (stellen Sie sicher,dass die Synchronisierung der Liste sicherer Absender und die Aggregation der Liste in der Exchange Server-Umgebung konfiguriert ist)

Wenn einer der oben genannten Punkte auf eine eingehende Nachricht zutrifft, wird die Spamprüfung für dieseNachricht übergangen. Die Nachricht wird also nicht auf Spam untersucht und an das Postfach des Empfängerszugestellt.

Die Option Markierung der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen ist hilfreich, wennauthentifizierte SMTP-Sitzungen zwischen den Exchange-Servern auftreten, die eine solche Markierung/Flaggeverwenden. Wenn Sie beispielsweise einen Edge- und einen Hub-Server einsetzen, muss der Datenverkehr zwischendiesen beiden Servern nicht auf Spam überprüft werden. Die Option Markierung der SMTP-Sitzung zurUmgehung des Spam-Schutzes zulassen ist standardmäßig aktiviert und wird angewendet, wenn für SMTP-Sitzungen auf dem Exchange-Server eine Flagge zur Umgehung des Spamschutzes gesetzt ist. Wenn Sie Markierung der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen deaktivieren, prüft ESET Mail

38

Security die SMTP-Sitzung auf Spam, auch wenn auf dem Exchange Server die Flagge zur Umgehung gesetzt ist.

Mit der Option Greylisting aktivieren starten Sie eine Programmfunktion, die Benutzer folgendermaßen vor Spamschützt: Der Transport-Agent sendet den SMTP-Rückgabewert „vorübergehend abgelehnt“ (standardmäßig451/4.7.1) für jede E-Mail von einem nicht erkannten Absender. Ein rechtmäßiger Server wird nach kurzer Wartezeiterneut versuchen, die E-Mail zu senden. Spam-Server unternehmen gewöhnlich keinen zweiten Zustellversuch, dasie Tausende von E-Mail-Adressen abarbeiten müssen und diese zeitraubende Aktion daher unterlassen. DieGreylisting-Technik erhöht den Spam-Schutz, ohne die Spam-Erkennung des Spam-Schutz-Moduls zu beeinflussen.

Beim Prüfen des Absenders berücksichtigt diese Technik die AntispamBypass-Einstellungen für das Postfach desEmpfängers sowie die Einstellungen für folgende Listen auf dem Exchange-Server: Freigegebene IP-Adressen,Ignorierte IP-Adressen, Sichere Absender und IP-Adressen zulassen. Bei E-Mails von den gespeicherten IP-Adressen/Absendern bzw. E-Mails, die an ein Postfach mit aktivierter AntispamBypass-Option gesendet werden,findet kein Greylisting statt.

Im Feld SMTP-Antwort für zeitweise abgewiesene Verbindungen können Sie die Antwort an den SMTP-Serverfür die vorübergehende Ablehnung einer E-Mail festlegen.

Beispiel für SMTP-Antwort:

Primärer Antwortcode Ergänzender Statuscode Beschreibung

451 4.7.1 Angeforderte Aktion abgebrochen: lokalerVerarbeitungsfehler

Warnung: SMTP-Antworten mit falscher Syntax können zu einem fehlerhaften Verhalten des Greylisting-Schutzmoduls führen. Möglicherweise werden dann Spam-Mails an Clients weitergeleitet bzw. E-Mails überhauptnicht zugestellt.

Zeitlimit für Abweisen des ersten Zustellversuchs (Min.) – Legt die Zeitspanne fest, in der die E-Mail, die beimersten Sendeversuch vorübergehend abgelehnt wurde, immer abgelehnt wird (gemessen ab der ersten Ablehnung).Ist diese Zeitspanne vorüber, kann die E-Mail erfolgreich gesendet werden. Der Mindestwert beträgt 1 Minute.

Ablauf nicht verifizierter Verbindungen nach (Stunden) – Legt fest, wie lange die drei Hauptinformationen einerE-Mail gespeichert werden. Ein rechtmäßiger Server muss die erwartete Nachricht vor dem Ablauf dieses Intervallserneut senden. Der Wert muss größer sein als der Wert für Zeitlimit für Abweisen des ersten Zustellversuchs.

Ablauf verifizierter Verbindungen nach (Tage) – Legt fest, wie viele Tage E-Mail-Informationen mindestensgespeichert werden. Während dieser Zeit werden E-Mails von bestimmten Absendern ohne Zeitverzögerungempfangen. Dieser Wert muss größer sein als der Wert für Ablauf nicht verifizierter Verbindungen.

HINWEIS: Für die Konfiguration des SMTP-Rejects können Sie auch Systemvariablen verwenden.

3.3.1.2 POP3-Connector und Spam-Schutz

Microsoft Windows Small Business Server (SBS)-Versionen enthalten einen POP3-Connector, mit dem der Server E-Mail-Nachrichten von externen POP3-Servern abrufen kann. Die Implementierung dieses „Standard“-POP3-Connectors ist je nach SBS-Version unterschiedlich.

ESET Mail Security unterstützt den POP3-Connector von Microsoft SBS auf SBS 2008. Nachrichten, die über diesenPOP3-Connector heruntergeladen werden, werden auf Spam überprüft. Dies ist möglich, weil die Nachrichten überSMTP zu Microsoft Exchange übertragen werden. Der Microsoft SBS-POP3-Connector unter SBS 2003 wird jedochvon ESET Mail Security nicht unterstützt. Über diesen Connector übertragene Nachrichten werden daher nicht aufSpam gepüft. Dies liegt daran, dass die Nachrichten die SMTP-Warteschlange umgehen.

Zusätzlich sind verschiedene POP3-Connectors von Drittanbietern verfügbar. Ob die über einen bestimmten POP3-Connector abgerufenen Nachrichten auf Spam überprüft werden, hängt von der vom jeweiligen POP-Connectorverwendeten Methode zum Abrufen der Nachrichten ab. Beispielsweise überträgt GFI POP2Exchange dieNachrichten über das PICKUP-Verzeichnis. Die Nachrichten werden daher nicht auf Spam geprüft. ÄhnlicheProbleme können mit Produkten auftreten, die die Nachrichten über eine authentifizierte Sitzung übertragen(beispielsweise IGetMail), oder wenn Exchange die Nachrichten als interne Nachrichten markiert, da in diesem Fallder Spam-Schutz standardmäßig umgangen wird. Diese Einstellung kann in der Konfigurationsdatei geändertwerden. Exportieren Sie die Konfiguration in eine XML-Datei, ändern Sie den Wert der Einstellung AgentASScanSecureZone zu "1" und importieren Sie die Konfiguration wieder zurück (Informationen zum Importierenund Exportieren einer Konfigurationsdatei finden Sie im Kapitel Einstellungen importieren und exportieren ).128

39

Alternativ können Sie in der Baumstruktur der erweiterten Einstellungen (F5) die Option Markierung der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen deaktivieren. Diese Option finden Sie unter Serverschutz >Spam-Schutz > Microsoft Exchange Server > Transport-Agent. Wenn Sie diese Option deaktivieren, prüft ESETMail Security die SMTP-Sitzung auf Spam und ignoriert die Einstellung des Exchange-Servers zur Umgehung vonSpam.

3.3.2 Spam-Schutz

Hier können Sie die Parameter für den Spam-Schutzkonfigurieren. Klicken Sie dazu auf Einstellungen.... EinFenster wird angezeigt, in dem Sie die Einstellungen für den Spamschutz festlegen können.

Nachrichten-Kategorisierung

Der Spam-Schutz von ESET Mail Security weist jeder geprüften E-Mail einen Spam-Score von 0 bis 100 zu. Indem Siedie Grenzen des Spam-Score verändern, bestimmen Sie:

1) ob eine E-Mail als Spam oder kein Spam eingestuft wird. E-Mails, deren Spam-Score mindestens so hoch ist wiedie Einstellung Spam-Score, ab dem Nachricht als Spam gewertet wird , werden als Spam eingestuft. Ist diesder Fall, werden die im Transport-Agenten festgelegten Aktionen auf diese E-Mails angewendet.

2) ob eine E-Mail im Spam-Schutz-Log protokolliert wird (Tools > Log-Dateien > Spam-Schutz). E-Mails, derenSpam-Score mindestens so hoch ist wie die Einstellung Spam-Score, ab dem angenommen wird, dass eineNachricht wahrscheinlich Spam bzw. wahrscheinlich legitim ist, werden im Log protokolliert.

3) in welchen Bereich der Spam-Schutz-Statistik die fragliche E-Mail gehört (Schutzstatus > Statistik > E-Mail-Server - Spam-Schutz).

Als SPAM gewertete Nachrichten – Der Spam-Score der E-Mail entspricht mindestens dem unter Spam-Score, abdem Nachricht als Spam gewertet wird festgelegten Wert

Als vermutlich SPAM gewertete Nachrichten: – Der Spam-Score der E-Mail ist mindestens so hoch wie der unterSpam-Score, ab dem angenommen wird, dass eine Nachricht wahrscheinlich Spam bzw. wahrscheinlichlegitim ist festgelegte Wert

Als vermutlich KEIN Spam gewertete Nachrichten – Der Spam-Score der E-Mail ist niedriger als der unter Spam-Score, ab dem angenommen wird, dass eine Nachricht wahrscheinlich Spam bzw. wahrscheinlich legitim istfestgelegte Wert

Als KEIN SPAM gewertete Nachrichten – Der Spam-Score der E-Mail ist niedriger als der unter Spam-Score, abdem Nachricht als legitim gewertet wird festgelegte Wert

3.3.2.1 Einstellungen für Spam-Schutz

3.3.2.1.1 Analyse

In diesem Abschnitt können Sie konfigurieren, wie Nachrichten auf Spam überprüft und anschließend verarbeitetwerden.

Nachrichtenanlagen prüfen – Mit dieser Option legen Sie fest, ob das Spamschutz-Modul Anlagen prüft und beider Berechnung des Spam-Score berücksichtigt.

Beide MIME-Abschnitte verwenden – Das Spamschutz-Modul analysiert beide MIME-Abschnitte (Nur-Text undHTML) der Nachricht. Wenn eine bessere Leistung erwünscht ist, kann die Analyse auf einen Abschnitt beschränktwerden. Wenn die Option deaktiviert ist, wird nur ein Abschnitt analysiert.

Speichergröße für Score-Berechnung (in Byte): – Mit dieser Option können Sie festlegen, dass das Spamschutz-Modul beim Verarbeiten der Regeln nur einen bestimmten, in Byte festgelegten Teil des Speicherpuffers liest.

Speichergröße für Probenberechnung (in Byte): – Mit dieser Option wird das Spamschutz-Modul angewiesen,beim Berechnen des Fingerabdrucks einer Nachricht nur die festgelegte Bytezahl zu lesen. Dies ist hilfreich, umkonsistente Fingerabdrücke zu erhalten.

LegitRepute-Cachespeicher verwenden – Aktiviert die Nutzung des LegitRepute-Cachespeichers, um besondersbei Newslettern die Zahl falsch positiver Ergebnisse zu reduzieren.

Zu UNICODE konvertieren – Ermöglicht eine höhere Genauigkeit und einen höheren Durchsatz bei E-Mail-Nachrichten in Unicode, besonders für Doppelbyte-Sprachen, indem die Nachricht in Einzelbyte-Inhalt konvertiert

37

96

40

wird.

Domänencachespeicher verwenden – Aktiviert die Nutzung eines Domänenreputations-Cache. Wenn die Optionaktiviert ist, werden die Domänen der Nachrichten extrahiert und mit einem Domänenreputations-Cachespeicherverglichen.

3.3.2.1.1.1 Proben

Cachespeicher verwenden – Aktiviert die Nutzung des Fingerabruck-Cache (standardmäßig aktiviert).

MSF einschalten – Ermöglicht die Nutzung eines alternativen Fingerabdruck-Algorithmus (MSF). Nach derAktivierung können Sie folgende Grenzwerte festlegen:

Anzahl der Nachrichten für Bulk-Nachricht: – Hier können Sie festlegen, ab wie vielen ähnlichen Nachrichteneine Nachricht als Bulk eingestuft wird.Häufigkeit des Löschens des Cachespeichers: – Mit dieser Option können Sie eine interne Variable angeben, diefestlegt, wie oft der MSF-Cache geleert wird.Empfindlichkeit für Probenübereinstimmung: – Diese Option legt den Übereinstimmungsprozentwert für zweiFingerabdrücke fest. Wenn der Übereinstimmungsprozentwert über diesem Grenzwert liegt, werden dieNachrichten als identisch betrachtet.Zahl der gespeicherten Proben: – Mit dieser Option legen Sie fest, wie viele MSF-Fingerabdrücke im Speicherbewahrt werden. Je höher der Wert, desto mehr Speicherplatz wird verwendet und desto höher ist dieGenauigkeit.

3.3.2.1.1.2 SpamCompiler

SpamCompiler aktivieren – Beschleunigt das Verarbeiten von Regeln, erfordert jedoch etwas mehr Speicher.

Bevorzugte Version: – Legt fest, welche SpamCompiler-Version verwendet werden soll. Wenn der WertAutomatisch ausgewählt wird, wählt das Spamschutz-Modul die am besten geeignete Version aus.

Cachespeicher verwenden – Wenn diese Option aktiviert ist, speichert SpamCompiler die kompilierten Daten aufdem Datenträger, und nicht im Speicher, um die Speicherauslastung zu reduzieren.

Liste der Cachespeicherdateien: – Diese Option legt fest, welche Regeldateien auf dem Datenträger und nicht imSpeicher kompiliert werden.

Legen Sie Regeldatei-Indexes fest, die im Cachespeicher auf dem Datenträger gespeichert werden. Verwalten Siedie Regeldatei-Indexes mit folgenden Funktionen:

Hinzufügen...Bearbeiten...Entfernen

HINWEIS: Als Zeichen sind nur Zahlen zugelassen.

3.3.2.1.2 Trainingsmodus

Trainingsmodus für Fingerabdruck-Score der Nachricht – Aktiviert das Training für den Fingerabdruck-Score.

Trainingswörter verwenden – Mit dieser Option wird gesteuert, ob der Bayessche Spamfilter verwendet wird.Seine Verwendung erhöht die Genauigkeit, fordert jedoch mehr Speicherplatz und dauert etwas länger.

Wörter in Cachespeicher: – Diese Option legt die Zahl der Wort-Token zu einem beliebigen Zeitpunkt imCachespeicher fest. Je höher der Wert, desto mehr Speicherplatz wird verwendet und desto höher ist dieGenauigkeit. Um einen Wert einzugeben, aktivieren Sie zunächst die Option Trainingswörter verwenden.

Trainings-Datenbank nur lesen: – Mit dieser Option wird festgelegt, ob die Trainings-Datenbank für Wörter,Regeln und Fingerabdrücke aktualisiert werden kann oder ob sie nach dem ersten Laden nur mit Lesezugriffverwendet wird. Eine Trainings-Datenbank nur mit Lesezugriff ist schneller.

Empfindlichkeit für automatisches Training: – Legt einen Grenzwert für das automatische Training fest. Wenneine Nachricht einen Score erhält, der mindestens dem oberen Grenzwert entspricht, wird die Nachricht als Spameingestuft und zum Training aller mit dem Bayesschen Filter aktivierten Module (Regeln und/oder Wörter)verwendet, nicht jedoch für Absender und Fingerdruck. Wenn eine Nachricht einen Score erhält, der höchstensdem unteren Grenzwert entspricht, wird die Nachricht als „kein Spam“ eingestuft und zum Training aller mit demBayesschen Filter aktivierten Module (Regeln und/oder Wörter) verwendet, nicht jedoch für Absender und

41

Fingerdruck. Aktivieren Sie zunächst die Option Trainings-Datenbank nur lesen:, um den unteren und oberenGrenzwert einzugeben.

Mindestmenge Trainingsdaten: – Zu Beginn werden nur die Regelgewichtungen zum Berechnen des Spam-Scoreverwendet. Sobald die Mindestmenge Trainingsdaten erreicht ist, ersetzen die Trainingsdaten für Regeln undWörter die Regelgewichtungen. Der standardmäßige Mindestwert ist 100. Dies bedeutet, dass zunächst einTraining für 100 bekannte „kein Spam“-Nachrichten und 100 Spam-Nachrichten erfolgen muss, also insgesamt fürmindestens 200 Nachrichten, bevor die Trainingsdaten anstelle der Regelgewichtungen verwendet werden. Ein zugeringer Wert kann aufgrund der unzureichenden Daten zu mangelnder Genauigkeit führen. Bei einem zu hohenWert werden die Trainingsdaten nicht optimal ausgenutzt. Bei einem Wert von „0“ werden die Regelgewichtungenimmer ignoriert.

Nur Trainingsdaten verwenden – Legt fest, ob die Trainingsdaten immer verwendet werden. Wenn diese Optionaktiviert ist, werden die Scores nur auf Grundlage der Trainingsdaten berechnet. Wenn diese Option deaktiviert ist,werden sowohl Regeln als auch Trainingsdaten verwendet.

Anzahl geprüfter Nachrichten vor dem Schreiben auf den Datenträger: – Im Trainingsmodus verarbeitet dasSpamschutz-Modul eine konfigurierbare Menge Nachrichten, bevor Daten in die Trainings-Datenbank auf demDatenträger geschrieben werden. Mit dieser Option legen Sie fest, wie viele Nachrichten verarbeitet werden, bevorDaten auf den Datenträger geschrieben werden. Für eine möglichst hohe Leistung sollte dieser Wert möglichstgroß sein. In außergewöhnlichen Fällen kann es vorkommen, dass das Programm unerwartet beendet wird, bevordie Daten im Pufferspeicher auf den Datenträger geschrieben werden. In diesem Fall gehen die Trainingsdaten seitdem letzten Schreiben auf den Datenträger verloren. Bei einem normalen Beenden wird der Pufferinhalt auf denDatenträger geschrieben.

Länderdaten für Training verwenden – Legt fest, ob die Informationen zu den Ländern, durch die die Nachrichtgeleitet wurde, beim Training und beim Berechnen des Score verwendet werden.

3.3.2.1.3 Regeln

Regeln verwenden – Diese Option legt fest, ob langsamere heuristische Regeln verwendet werden. Dies erhöht dieGenauigkeit, fordert jedoch mehr Speicherplatz und dauert etwas länger.

Regelsatzerweiterung verwenden – Aktiviert den erweiterten Regelsatz.Zweite Regelsatzerweiterung verwenden – Aktiviert die zweite Erweiterung des Regelsatzes.

Regelgewichtung: – Mit dieser Option können Sie Gewichtungen einzelner Regeln umgehen.

Liste heruntergeladener Regeldateien: – Mit dieser Option wird festgelegt, welche Regeldateienheruntergeladen werden..

Kategoriegewichtung: – Gibt Ihnen die Möglichkeit, die Gewichtungen der Kategorien in sc18 und in den Dateiender benutzerdefinierten Regelliste anzupassen. Kategorie: Name der Kategorie. Derzeit auf die Werte SPAM, PHISH,BOUNCE, ADULT, FRAUD, BLANK, FORWARD und REPLY beschränkt. Beachten Sie die Groß-/Kleinschreibung indiesem Feld. Score: Eine beliebige Ganzzahl, BLOCK oder APPROVE. Die Gewichtung der Regeln, die mit derentsprechenden Kategorie übereinstimmen, wird mit dem Skalierungsfaktor multipliziert, um die neueGewichtung zu erhalten.

Liste benutzerdefinierter Regeln: – Hier können Sie eine benutzerdefinierte Regelliste erstellen (für Wörter/Phrase, die Spam, kein Spam, Phishing kennzeichnen). Dateien mit benutzerdefinierten Regeln enthalten Phrasenim folgenden Format (getrennte Zeilen): Phrase, Typ, Wahrscheinlichkeit, Groß-/Kleinschreibungsempfindlichkeit.Die Phrase kann beliebigen Text ohne Kommas enthalten. Kommas müssen aus der Phrase gelöscht werden. DerTyp kann SPAM, PHISH, BOUNCE, ADULT oder FRAUD sein. Wenn für den Typ ein anderer Wert angegeben wird,wird dies automatisch als SPAM betrachtet. Die Wahrscheinlichkeit kann ein Wert zwischen 1 und 100 sein. Wennder Typ SPAM ist, weist 100 auf eine hohe Spam-Wahrscheinlichkeit hin. Beim Typ PHISH weist 100 auf eine hohePhishing-Wahrscheinlichkeit hin. Beim Typ BOUNCE weist 100 darauf hin, dass die Phrase mit hoherWahrscheinlichkeit eine Unzustellbarkeitsnachricht ist. Eine höhere Wahrscheinlichkeit beeinflusst eher denendgültigen Score. Der Wert 100 ist jedoch ein besonderer Fall. Beim Typ SPAM führt eine Wahrscheinlichkeit von100 zu einem Score von 100. Dies gilt ebenso für die Typen PHISH und BOUNCE. Positivlisten haben Vorrang vorNegativlisten (d. h. bei widersprüchlichen Angaben wird die Positivliste verwendet). Ein Wert von 1 für die Groß-/Kleinschreibungsempfindlichkeit bedeutet, dass die Groß-/Kleinschreibung berücksichtigt wird; ein Wert von 0bedeutet, dass die Groß-/Kleinschreibung ignoriert wird. Beispiele:

spamming ist lustig, SPAM, 100,0Phishing ist phantastisch, PHISH, 90,1Zurück an Absender, BOUNCE, 80, 0

42

Die erste Zeile bedeutet, dass alle Variationen von „spamming ist lustig“ als SPAM mit einer Wahrscheinlichkeit von100 eingestuft werden. Die Groß-/Kleinschreibung der Phrase wird nicht beachtet. Die zweite Zeile bedeutet, dassalle Variationen von „Phishing ist phantastisch“ als PHISH mit einer Wahrscheinlichkeit von 90 eingestuft werden.Die Groß-/Kleinschreibung der Phrase wird berücksichtigt. Die dritte Zeile bedeutet, dass alle Variationen von„Zurück an Absender“ als BOUNCE mit einer Wahrscheinlichkeit von 80 eingestuft werden. Die Groß-/Kleinschreibung der Phrase wird nicht beachtet.

Ältere Regeln nach Update löschen – Standardmäßig löscht das Spamschutz-Modul ältere Regeln aus demKonfigurationsverzeichnis, wenn eine neuere Datei aus dem SpamCatcher-Netzwerk heruntergeladen wird.Bestimmte Benutzer des Spamschutz-Moduls möchten jedoch unter Umständen die älteren Regeldateienarchivieren. Deaktivieren Sie hierzu diese Löschfunktion.

Benachrichtigung nach erfolgreichem Update der Regeln –

3.3.2.1.3.1 Regelgewichtung

Legen Sie Regeldatei-Indexe und deren Gewichtung fest. Klicken Sie auf Hinzufügen..., um eine Regelgewichtunghinzuzufügen. Klicken Sie auf Bearbeiten..., um vorhandene Einträge zu ändern. Klicken Sie zum Löschen aufEntfernen.

Geben Sie Werte für Index: und Gewichtung: an.

3.3.2.1.3.2 Liste heruntergeladener Regeldateien

Legen Sie Regeldatei-Indexe fest, die auf den Datenträger heruntergeladen werden sollen. Verwalten dieRegeldatei-Indexe über die Schaltflächen Hinzufügen, Bearbeiten und Entfernen.

3.3.2.1.3.3 Kategoriegewichtung

Legen Sie Regelkategorien und deren Gewichtung fest. Verwalten die Kategorien und Gewichtungen über dieSchaltflächen Hinzufügen..., Bearbeiten... und Entfernen.

Wählen Sie zum Hinzufügen einer Kategoriegewichtung eine Kategorie aus der Liste aus. Folgende Kategorienstehen zur Verfügung:

SPAMPhishingUnzustellbarkeitsberichtPotenziell anstößiger InhaltBetrügerische NachrichtenLeere NachrichtenWeitergeleitete NachrichtenAntwortnachrichten

Wählen Sie dann eine Aktion aus:

ZulassenBlockierenGewichtung:

3.3.2.1.3.4 Liste benutzerdefinierter Regeln

Sie können benutzerdefinierte Regeln verwenden, die Formulierungen enthalten. Es handelt sich hierbeigrundsätzlich um TXT-Dateien. Weitere Details und Informationen zum Format der Formulierungen finden Sie imHilfethema Regeln (Abschnitt Liste benutzerdefinierter Regeln).

Um Dateien mit benutzerdefinierten Regeln für die Nachrichtenanalyse zu verwenden, müssen Sie die Dateien amfolgenden Speicherort ablegen:

Bei Windows Server 2008 und höheren Version lautet der Pfad:C:\ProgramData\ESET\ESET Mail Security\ServerAntispam

Bei Windows Server 2003 und älteren Version lautet der Pfad:C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\ESET\ESET Mail Security\ServerAntispam

41

43

Klicken Sie zum Laden der Dateien auf die Schaltfläche ... (Durchsuchen), navigieren Sie zum oben genanntenSpeicherort und wählen Sie die Textdatei aus (*.txt). Verwalten die Liste benutzerdefinierter Regeln über dieSchaltflächen Hinzufügen, Bearbeiten und Entfernen.

HINWEIS: Die TXT-Datei mit den benutzerdefinierten Regeln muss im Ordner ServerAntispam abgelegt sein;andernfalls wird die Datei nicht geladen.

3.3.2.1.4 Filterung

In diesem Abschnitt können Sie zugelassene, blockierte und ignorierte Listen konfigurieren, indem Sie eine IP-Adresse, einen IP-Adressenbereich, Domänennamen, E-Mail-Adressen usw. eingeben. Um Kriterien hinzuzufügen,zu ändern oder zu entfernen, navigieren Sie zur gewünschten Liste und klicken Sie auf die entsprechendeSchaltfläche.

3.3.2.1.4.1 Zugelassene Absender

Die Positivliste kann E-Mail-Adressen oder Domänen enthalten. Adressen werden im Format „postfach@domäne“und Domänen im Format „Domäne“ eingegeben.

HINWEIS: Leerzeichen am Anfang und am Ende werden ignoriert. Reguläre Ausdrücke werden nicht unterstützt.Sternchen („*“) werden ebenfalls ignoriert.

3.3.2.1.4.2 Blockierte Absender

Die Negativliste kann E-Mail-Adressen oder Domänen enthalten. Adressen werden im Format „postfach@domäne“und Domänen im Format „Domäne“ eingegeben.

HINWEIS: Leerzeichen am Anfang und am Ende werden ignoriert. Reguläre Ausdrücke werden nicht unterstützt.Sternchen („*“) werden ebenfalls ignoriert.

3.3.2.1.4.3 Zugelassene IP-Adressen

Hier können Sie IP-Adressen eingeben, die immer zugelassen werden sollen. Zum Festlegen von Bereichen stehendrei Möglichkeiten zur Verfügung:

a) Start- und End-IP-Adresseb) IP-Adresse und Netzwerkmaskec) IP-Adresse

Wenn die erste nicht ignorierte IP-Adresse im Header „Received:“ mit einer Adresse in dieser Liste übereinstimmt,wird der Nachricht der Score-Wert 0 zugewiesen und es werden keine weiteren Prüfungen vorgenommen.

3.3.2.1.4.4 Ignorierte IP-Adressen

Hier können Sie IP-Adressen festlegen, die bei RBL-Prüfungen ignoriert werden sollen. Folgende Adressen werdenimmer implizit ignoriert:

10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0

Zum Festlegen von Bereichen stehen drei Möglichkeiten zur Verfügung:


44

3.3.2.1.4.5 Blockierte IP-Adressen

Hier können Sie IP-Adressen eingeben, die immer blockiert werden sollen. Zum Festlegen von Bereichen stehen dreiMöglichkeiten zur Verfügung:


Wenn eine IP-Adresse im Feld „Empfangen:“ mit einer Adresse in dieser Liste übereinstimmt, wird der Nachricht derScore-Wert 100 zugewiesen und es werden keine weiteren Prüfungen vorgenommen.

3.3.2.1.4.6 Zugelassene Domänen

Hier können Sie Domänen und IP-Adressen festlegen, die immer zugelassen werden sollen.

3.3.2.1.4.7 Ignorierte Domänen

Hier können Sie Domänen festlegen, die immer von DNSBL-Prüfungen ausgeschlossen und ignoriert werden sollen.

3.3.2.1.4.8 Blockierte Domänen

Hier können Sie Domänen und IP-Adressen festlegen, die immer blockiert werden sollen.

3.3.2.1.4.9 Gespoofte Absender

Ermöglicht das Blockieren von Spammern, die den Namen Ihrer und anderer Domänen spoofen. Spammerverwenden beipielsweise häufig den Domänenname des Empfängers als Domänenname im Feld „Von:“ . Über dieseListe können Sie festlegen, welche E-Mail-Server welche Domänennamen im Feld „Von:“ verwenden dürfen.

3.3.2.1.5 Überprüfung

Die Überprüfung ist eine Zusatzfunktion des Spamschutzes. Mit dieser Funktion können Nachrichten über externeServer und anhand definierter Kriterien überprüft werden. Wählen Sie eine Liste aus der Baumstruktur aus, um dieKriterien zu konfigurieren. Folgende Listen sind verfügbar:

RBL (Realtime Blackhole List) LBL (Last Blackhole List)DNSBL (DNS Blocklist)

3.3.2.1.5.1 RBL (Realtime Blackhole List)

RBL-Server: – Ermöglicht das Festlegen einer Liste mit Realtime Blackhole List (RBL)-Servern, die bei derNachrichtenanalyse abgefragt werden. Weitere Informationen hierzu finden Sie im Abschnitt über RBL in diesemDokument.

RBL-Überprüfungsempfindlichkeit: – Da RBL-Prüfungen eine Latenzzeit und eine Leistungsminderung mit sichbringen können, kann mit dieser Option festgelegt werden, dass RBL-Prüfungen je nach dem vor der RBL-Prüfungzugewiesenen Score ausgeführt werden. Wenn der Score über dem oberen Grenzwert liegt, werden nur die RBL-Server abgefragt, die den Score unter den oberen Grenzwert senken können. Wenn der Score unter dem unterenGrenzwert liegt, werden nur die RBL-Server abgefragt, die den Score über den unteren Grenzwert bringen können.Wenn der Score zwischen dem unteren und dem oberen Grenzwert liegt, werden alle RBL-Server abgefragt.

Zeitlimit für die Ausführung der RBL-Anfrage (in Sekunden): – Ermöglicht das Festlegen eines Zeitlimits zumAbschließen aller RBL-Abfragen. Nur die RBL-Antworten von den RBL-Servern, die rechtzeitig geantwortet haben,werden verwendet. Wenn der Wert auf „0“ festgelegt ist, wird kein Zeitlimit erzwungen.

Höchstzahl über RBL überprüfter Adressen: – Mit dieser Option können Sie die Zahl der IP-Adressen begrenzen,die auf dem RBL-Server abgerufen werden. Beachten Sie, dass die Gesamtzahl der RBL-Anfragen der Multiplikationaus der Anzahl der IP-Adressen in den Headers „Empfangen:“ (bis zur Höchstzahl zu prüfender Adressen) mit derAnzahl der in der RBL-Liste angegebenen RBL-Server entspricht. Wenn der Wert auf „0“ festgelet wird, wird eineunbegrenzte Zahl Header geprüft. Beachten Sie, dass IP-Adressen, die mit einem Eintrag in der Liste ignorierter IP-Adressen übereinstimmen, nicht für die Bestimmung der RBL-IP-Adresszahl berücksichtigt werden.

45

Verwalten Sie die Liste über die Schaltflächen Hinzufügen..., Bearbeiten... und Entfernen.

Die Liste enthält drei Spalten:

AdresseAntwortScore

3.3.2.1.5.2 LBL (Last Blackhole List)

LBL-Server: – Die letzte IP-Adresse der Verbindung wird auf dem LBL-Server abgerufen. Sie können eine andereDNS-Suche für die letzte eingehende IP-Adresse der Verbindung festlegen. Für die letzte eingehende IP-Adresse derVerbindung wird statt der RBL-Liste die LBL-Liste abgefragt. Ansonsten werden die Optionen der RBL-Liste, wieRBL-Grenzwert, auch auf die LBL-Liste angewendet.

Nicht mit LBL zu überprüfende IP-Adressen: – Wenn die letzte eingehende IP-Adresse der Verbindung mit einerIP-Adresse in dieser Liste übereinstimmt, wird diese IP-Adresse auf dem bzw. den RBL-Server(n) abgerufen, nichtdem (den) LBL-Server(n).



AdresseAntwortScore

Hier können Sie IP-Adressen festlegen, die nicht LBL überprüft werden. Verwalten Sie die Liste über dieSchaltflächen Hinzufügen..., Bearbeiten... und Entfernen.

3.3.2.1.5.3 DNSBL (DNS Block List)

DNSBL-Server: – Liste der DNS Blocklist (DNSBL)-Server, die zur Abfrage von Domänen und IP-Adressen aus demNachrichteninhalt verwendet werden sollen

DNSBL-Überprüfungsempfindlichkeit: – Wenn der Score über dem oberen Grenzwert liegt, werden nur dieDNSBL-Server abgefragt, die den Score unter den oberen Grenzwert senken können. Wenn der Score unter demunteren Grenzwert liegt, werden nur die DNSBL-Server abgefragt, die den Score über unteren Grenzwert bringenkönnen. Wenn der Score zwischen dem unteren und dem oberen Grenzwert liegt, werden alle DNSBL-Serverabgefragt.

Zeitlimit für die Ausführung der DNSBL-Anfrage (in Sekunden): – Ermöglicht das Festlegen eines Zeitlimits zumAbschließen aller DNSBL-Abfragen.

Höchstzahl über DNSBL überprüfter Domänen: – Hier können Sie festlegen, wie viele Domänen und IP-Adressenauf dem DNS Blocklist-Server abgerufen werden.



AdresseAntwortScore

46

3.3.2.1.6 DNS

Cachespeicher verwenden – Speichert DNS-Anfragen im internen Cache.

Zahl der gespeicherten DNS-Anfragen: – Beschränkt die Zahl der Einträge im internen DNS-Cache.

Cachespeicher auf Datenträger speichern – Wenn diese Option aktiviert ist, speichert der DNS-Cache dieEinträge beim Herunterfahren auf dem Datenträger und liest sie bei der Initialisierung vom Datenträger.

DNS-Serveradressen: – DNS-Server können nun explizit angegeben werden, um die Standardwerte zu übergehen.

Direkter DNS-Zugriff: – Wenn für diese Option der Wert „Ja“ festgelegt wird und kein DNS-Server angegeben ist,erstellt das Spamschutz-Modul LiveFeed-Anfragen direkt an die LiveFeed-Server. Die Option wird ignoriert, wennein DNS-Server festgelegt ist. Wenn direkte Abfragen effizienter sind als die standardmäßigen DNS-Server, sollte fürdiese Option der Wert Ja festgelegt werden.

Dauer der DNS-Anfrage (in Sekunden): – Mit dieser Option kann eine minimale TTL für die Einträge im internenDNS-Cache des Spamschutz-Moduls festgelegt werden. Der Wert wird in Sekunden angegeben. Bei DNS-Antworten, deren TTL-Wert unter dem festgelegten Mindestwert liegt, verwendet der interne Cache desSpamschutz-Moduls stattdessen den festgelegten TTL-Wert (und nicht den TTL-Wert der DNS-Antwort).

3.3.2.1.7 Score

Score-Verlauf aktivieren – Frühere Scores für wiederholte Absender werden können nachverfolgt werden.

Analyse beenden, wenn Grenzwert für Spam-Score erreicht ist – Mit dieser Option können Sie festlegen, dassdas Spamschutz-Modul die Analyse beendet, wenn ein bestimmter Score erreicht wurde. Dies kann die Anzahl derausgeführten Regeln bzw. Prüfungen reduzieren und somit die Leistung steigern.

Beschleunigte Analyse, bis Grenzwert-Score für saubere Nachricht erreicht ist – Mit dieser Option können Siedas Spamschutz-Modul anweisen, langsame Regeln zu überspringen, wenn die Nachricht voraussichtlich keinSpam ist.

Nachrichten-Kategorisierung

Score-Wert, ab dem eine Nachricht als Spam betrachtet wird: – Das Spamschutz-Modul weist geprüftenNachrichten einen Wert zwischen 0 und 100 zu. Das Ändern der Randwerte beeinflusst die Zahl der als„möglicherweise Spam“ eingestuften Nachrichten. Falsche Werte können die Erkennungsergebnisse desSpamschutz-Moduls beeinträchtigen.

Score-Wert, ab dem eine Nachricht als „möglicherweise Spam“ oder „möglicherweise sauber“ eingestuftwird: – Das Spamschutz-Modul weist geprüften Nachrichten einen Wert zwischen 0 und 100 zu. Das Ändern derRandwerte beeinflusst die Zahl der als „möglicherweise Spam“ eingestuften Nachrichten. Falsche Werte könnendie Erkennungsergebnisse des Spamschutz-Moduls beeinträchtigen.

Score-Wert, bis zu dem eine Nachricht als wirklich sauber betrachtet wird: – Das Spamschutz-Modul weistgeprüften Nachrichten einen Wert zwischen 0 und 100 zu. Das Ändern der Randwerte beeinflusst die Zahl der als„möglicherweise Spam“ eingestuften Nachrichten. Falsche Werte können die Erkennungsergebnisse desSpamschutz-Moduls beeinträchtigen.

3.3.2.1.8 Spambait

Spam-Adressen: – Wenn die „RCPT TO:“- Adresse des SMTP-Umschlags mit einer E-Mail-Adresse in dieser Listeübereinstimmt, zeichnet die Statistikdatei Tokens in der E-Mail-Nachricht auf, die darauf hinweisen, dass dieNachricht an eine Spambait-Adresse gesendet wurde. Die Adressen müssen genau übereinstimmen. Groß- undKleinschreibung wird nicht beachtet; Platzhalter werden nicht unterstützt.

Als nicht existierend betrachtete Adressen: – Wenn die „RCPT TO:“- Adresse des SMTP-Umschlags mit einer E-Mail-Adresse in dieser Liste übereinstimmt, zeichnet die Statistikdatei Tokens in der E-Mail-Nachricht auf, diedarauf hinweisen, dass die Nachricht an eine nicht existierende Adresse gesendet wurde. Die Adressen müssengenau übereinstimmen. Groß- und Kleinschreibung wird nicht beachtet; Platzhalter werden nicht unterstützt.

47

3.3.2.1.8.1 Spambait-Adressen

Sie können E-Mail-Adressen festlegen, die nur zum Empfang von Spam verwendet werden. Um eine solche E-Mail-Adresse hinzuzufügen, geben Sie sie in einem Standardformat ein und klicken Sie auf Hinzufügen. Klicken Sie aufBearbeiten..., um vorhandene E-Mail-Adressen zu ändern. Klicken Sie zum Löschen auf Entfernen.

3.3.2.1.8.2 Als nicht existierend betrachtete Adressen

Sie können E-Mail-Adressen festlegen, die nach außen als nicht existierend erscheinen. Um eine solche E-Mail-Adresse hinzuzufügen, geben Sie sie in einem Standardformat ein und klicken Sie auf Hinzufügen. Klicken Sie aufBearbeiten..., um vorhandene E-Mail-Adressen zu ändern. Klicken Sie zum Löschen auf Entfernen.

3.3.2.1.9 Kommunikation

Dauer einzelner SpamLabs-Anfragen (in Sekunden): – Mit dieser Option können Sie eine maximale Dauer füreinzelne Anfragen an die Spamschutz-SpamLabs festlegen. Der Wert wird in ganzen Sekunden angegeben. Mit demWert „0“ wird die Funktion deaktiviert; es wird keine Zeitbegrenzung festgelegt.

v.4x-Protokoll verwenden: – Zur Ermittlung des Score über das ältere, langsamere v4.x-Protokoll mit denSpamschutz-SpamLabs kommunizieren. Wenn Sie diese Option auf Automatisch festlegen, kann das Spamschutz-Modul als Fallback zu LiveFeed-Abfragen automatisch eine Prüfung über das Netzwerk ausführen.

Bereich für die v4.x-Protokollnutzung: – Da Netzwerke eine Latenzzeit und eine Leistungsminderung mit sichbringen können, kann mit dieser Option festgelegt werden, dass Netzwerkprüfungen je nach Score ausgeführtwerden. Das Netzwerk wird nur abgefragt, wenn der Score zwischen den hier festgelegten oberen und unterenGrenzwerten liegt.

LiveFeed-Serveradresse: – Legt fest, welcher Server für LiveFeed-Anfragen verwendet wird.

Dauer der LiveFeed-Anfrage (in Sekunden): – Mit dieser Option kann eine minimale TTL für die Einträge iminternen LiveFeed-Cache des Spamschutz-Moduls festgelegt werden. Der Wert wird in Sekunden angegeben. BeiLiveFeed-Antworten, deren TTL-Wert unter dem festgelegten Mindestwert liegt, verwendet der interne Cache desSpamschutz-Moduls stattdessen den festgelegten TTL-Wert (und nicht den TTL-Wert der LiveFeed-Antwort).

Proxyserver-Authentifizierungstyp: – Legt fest, welche Art HTTP-Proxyauthentifizierung verwendet werden soll.

3.3.2.1.10 Leistung

Maximale Größe des verwendeten Thread-Stapels: – Legt die maximale Thread-Stapelgröße fest. Wenn dieThread-Stapelgröße auf 64 KB festgelegt ist, sollte diese Variable auf 100 oder einen kleineren Wert festgelegtwerden. Wenn die Thread-Stapelgröße auf mehr als 1 MB festgelegt ist, sollte diese Variable auf 10000 oder einenkleineren Wert festgelegt werden. Wenn für diese Variable ein Wert unter 200 festgelegt wird, kann dieGenauigkeit um ein einige Prozentpunkte sinken.

Erforderlicher Durchsatz (Nachrichten/Sekunde): Mit dieser Option können Sie den gewünschten Durchsatz inMessungen pro Minute festlegen. Das Spamschutz-Modul versucht, diesen Wert zu erreichen, indem es dieausgeführten Regeln optimiert. Unter Umständen ist die Genauigkeit beeinträchtigt. Der Wert „0“ deaktiviert dieOption

Inkrementelle Dateien in einer Datei zusammenfügen – Standardmäßig führt das Spamschutz-Modul mehrereinkrementelle Dateien und eine vollständige Datei in eine einzige, aktualisierte und vollständige Datei zusammen.Dies sorgt für eine bessere Übersichtlichtkeit im Konfigurationsverzeichnis.

Nur inkrementelle Dateien herunterladen – Standardmäßig versucht das Spamschutz-Modul, die in Bezug aufdie Größe effizienteste Kombination aus vollständiger und inkrementeller Datei herunterzuladen. Wenn Sie dieseOption auf „Ja“ festlegen, lädt das Spamschutz-Modul nur inkrementelle Dateien herunter.

Maximale Größe inkrementeller Dateien: – Um die CPU-Auslastung beim Aktualisieren von Regeldateien etwaszu senken, werden die Datenträger-Cachedateien (sc*.tmp) nicht bei jedem Mal aktualisiert. Stattdessen werdensie neu generiert, wenn eine neuere „sc*.bin.full“-Datei vorhanden ist oder wenn die Summe der inkrementellenDateien (sc*.bin.incr) die Anzahl der Bytes übersteigt, die als maximale Größe der inkrementellen Dateienangegeben wurde.

Speicherort für temporäre Dateien: – Dieser Parameter legt fest, wo das Spamschutz-Modul temporäre Dateienerstellt.

48

3.3.2.1.11 Regionale Einstellungen

Liste der üblichen Sprachen: – Über diese Option können Sie die üblichen Sprachen für Ihre E-Mail-Nachrichtenfestlegen. Es werden die zweistelligen Ländercodes gemäß ISO-639 verwendet.

Liste der üblichen Länder: – Hier können Sie die „üblichsten“ Länder festlegen. Nachrichten, die durch ein Landgeleitet werden, das nicht in dieser Liste enthalten ist, werden mit einem schlechteren Score versehen. Wenn dieseOption leer gelassen wird, erfolgt keine Herabstufung.

Liste der blockierten Länder: – Mit dieser Option können Sie Nachrichten bestimmter Länder blockieren. Wenneine IP-Adresse im Header „Empfangen“ mit einem hier aufgeführten Land übereinstimmt, wird die E-Mail als Spameingestuft. Die Ländercodes werden nicht auf die Absenderadressen angewendet. Beachten Sie, dass eineNachricht unter Umständen durch verschiedene Länder geleitet werden kann, bevor Sie den Empfänger erreicht.Diese Option bietet nur eine Genauigkeit von 98 %. Das Blockieren nach Land kann zu falsch positiven Ergebnissenführen.

Liste der blockierten Zeichensätze: – Mit dieser Option können Sie Nachrichten je nach verwendetem Zeichensatzblockieren. Der Standardwert für den Spam-Score ist 100. Sie können den Wert jedoch für jeden blockiertenZeichensatz separat anpassen. Beachten Sie, dass die Zuordnung von Sprachen zu Zeichensätzen nicht 100 %akkurat ist. Das Blockieren nach Zeichensatz kann daher zu falsch positiven Ergebnissen führen.

3.3.2.1.11.1 Liste der üblichen Sprachen

Legen Sie die Sprachen fest, in denen Sie üblicherweise und bevorzugt Nachrichten empfangen. Um eine Sprachehinzuzufügen, wählen Sie sie aus der Spalte Sprachencodes: aus und klicken Sie auf Hinzufügen. Die Sprache wirdnun in der Spalte Übliche Sprachen angezeigt. Um die Sprache aus der Spalte Übliche Sprachen zu entfernen,wählen Sie den Code aus und klicken Sie auf Entfernen.

Andere Sprachen blockieren: – Mit dieser Option legen Sie fest, ob die Sprachen, die nicht in der Spalte „üblicheSprachen“ enthalten sind, blockiert werden. Drei Optionen sind verfügbar:

JaNeinAutomatisch

Liste der Ländercodes (gemäß ISO 639):

Afrikaans afAmharisch amArabisch arBelarussisch beBulgarisch bgKatalanisch caTschechisch csWalisisch cyDänisch daDeutsch deGriechisch elEnglisch enEsperanto eoSpanisch esEstnisch etBaskisch euPersisch faFinnisch fiFranzösisch frFriesisch fyIrisch gaGälisch gdHebräisch heHindi hiKroatisch hrUngarisch huArmenisch hy

49

Indonesisch idIsländisch isItalienisch itJapanisch jaGeorgisch kaKoreanisch koLatein laLitauisch ltLettisch lvMarathi mrMalaiisch msNepali neNiederländisch

nl

Norwegisch noPolnisch plPortugiesisch ptQuechua quRätoromanisch

rm

Rumänisch roRussisch ruSanskrit saSchottisch scoSlowakisch skSlowenisch slAlbanisch sqSerbisch srSchwedisch svSwahili swTamil taThai thTagalog tlTürkisch trUkrainisch ukVietnamesisch

vi

Jiddisch yiChinesisch zh

3.3.2.1.11.2 Liste der üblichen Länder

Legen Sie die Länder fest, aus denen Sie üblicherweise und bevorzugt Nachrichten empfangen. Um ein Landhinzuzufügen, wählen Sie es aus der Spalte Ländercodes: aus und klicken Sie auf Hinzufügen. Das Land wird nunin der Spalte Übliche Länder angezeigt. Um das Land aus der Spalte Übliche Länder zu entfernen, wählen Sie denCode aus und klicken Sie auf Entfernen.

Liste der Ländercodes (gemäß ISO 3166):

AFGHANISTAN AFALAND AXALBANIEN ALALGERIEN DZAMERIKANISCH-SAMOA ASANDORRA ADANGOLA AOANGUILLA AIANTARKTIKA AQANTIGUA UND BARBUDA AGARGENTINIEN ARARMENIEN AMARUBA AWAUSTRALIEN AUÖSTERREICH AT

50

ASERBAIDSCHAN AZBAHAMAS BSBAHRAIN BHBANGLADESCH BDBARBADOS BBBELARUS BYBELGIEN BEBELIZE BZBENIN BJBERMUDA BMBHUTAN BTBOLIVIEN BOBOSNIEN UND HERZEGOWINA BABOTSWANA BWBOUVETINSEL BVBRASILIEN BRBRITISCHES TERRITORIUM IM INDISCHENOZEAN

IO

BRUNEI DARUSSALAM BNBULGARIEN BGBURKINA FASO BFBURUNDI BIKAMBODSCHA KHKAMERUN CMKANADA CAKAP VERDE CVCAYMAN-INSELN KYZENTRALAFRIKANISCHE REPUBLIK CFTSCHAD TDCHILE CLCHINA CNWEIHNACHTSINSELN CXKOKOSINSELN (KEELINGINSELN) CCKOLUMBIEN COKOMOREN KMKONGO CGKONGO, DEMOKRATISCHE REPUBLIK CDCOOK-INSELN CKCOSTA RICA CRELFENBEINKÜSTE CIKROATIEN HRKUBA CUZYPERN CYTSCHECHISCHE REPUBLIK CZDÄNEMARK DKDJIBOUTI DJDOMINICA DMDOMINIKANISCHE REPUBLIK DOECUADOR ECÄGYPTEN EGEL SALVADOR SVÄQUATORIALGUINEA GQERITREA ERESTLAND EEÄTHIOPIEN ETFALKLANDINSELN (MALWINEN) FKFÄRÖER FOFIDSCHI FJFINNLAND FIFRANKREICH FRFRANZÖSISCH-GUYANA GFFRANZÖSISCH-POLYNESIEN PF

51

FRANZÖSISCHE SÜDGEBIETE TFGABUN GAGAMBIA GMGEORGIEN GEDEUTSCHLAND DEGHANA GHGIBRALTAR GIGRIECHENLAND GRGRÖNLAND GLGRENADA GDGUADELOUPE GPGUAM GUGUATEMALA GTGUINEA GNGUINEA-BISSAU GWGUYANA GYHAITI HTHEARD-INSEL UND MCDONALD-INSELN HMVATIKAN VAHONDURAS HNHONGKONG HKUNGARN HUISLAND ISINDIEN ININDONESIEN IDIRAN, ISLAMISCHE REPUBLIK IRIRAK IQIRLAND IEISRAEL ILITALIEN ITJAMAIKA JMJAPAN JPJORDANIEN JOKASACHSTAN KZKENIA KEKIRIBATI KIKOREA, DEMOKRATISCHE VOLKSREPUBLIK KPKOREA, REPULIK KRKUWAIT KWKIRGISTAN KGLAOS, VOLKSREPUBLIK LALETTLAND LVLIBANON LBLESOTHO LSLIBERIA LRLYBIEN LYLIECHTENSTEIN LILITAUEN LTLUXEMBURG LUMACAO MOMAZEDONIEN, EHEMALIGEJUGOSLAWISCHE REPUBLIK

MK

MADAGASKAR MGMALAWI MWMALAYSIEN MYMALEDIVEN MVMALI MLMALTA MTMARSHALL-INSELN MHMARTINIQUE MQMAURITANIEN MRMAURITIUS MU

52

MAYOTTE YTMEXIKO MXMIKRONESIEN, FÖRDERIERTE STAATEN FMMOLDAWIEN, REPULIK MDMONACO MCMONGOLEI MNMONTSERRAT MSMAROKKO MAMOSAMBIK MZMYANMAR MMNAMIBIA NANAURU NRNEPAL NPNIEDERLANDE NLNIEDERLÄNDISCHE ANTILLEN ANNEUKALEDONIEN NCNEUSEELAND NZNICARAGUA NINIGER NENIGERIA NGNIUE NUNORFOLKINSEL NFNÖRDLICHE MARIANEN MPNORWEGEN NOOMAN OMPAKISTAN PKPALAU PWPALÄSTINENSISCHES GEBIET, BESETZTES PSPANAMA PAPAPUA-NEUGUINEA PGPARAGUAY PYPERU PEPHILIPPINEN PHPITCAIRN PNPOLEN PLPORTUGAL PTPUERTO RICO PRKATAR QARÉUNION RERUMÄNIEN RORUSSISCHE FÖDERATION RURUANDA RWSAINT HELENA SHSAINT KITTS UND NEVIS KNSAINT LUCIA LCSAINT PIERRE UND MIQUELON PMST. VINCENT UND DIE GRENADINEN VCSAMOA WSSAN MARINO SMSAO TOME UND PRINCIPE STSAUDI-ARABIEN SASENEGAL SNSERBIEN UND MONTENEGRO CSSEYCHELLEN SCSIERRA LEONE SLSINGAPUR SGSLOWAKEI SKSLOWENIEN SISALOMON-INSELN SBSOMALIA SOSÜDAFRIKA ZA

53

SÜDGEORGIEN UND SÜDLICHESANDWICH-INSELN

GS

SPANIEN ESSRI LANKA LKSUDAN SDSURINAME SRSVALBARD UND JAN MAYEN SJSWASILAND SZSCHWEDEN SESCHWEIZ CHSYRISCHE ARABISCHE REPUBLIK SYTAIWAN, CHINESISCHE PROVINZ TWTADSCHIKISTAN TJTANSANIEN, VEREINIGTE REPUBLIK TZTHAILAND THTIMOR-LESTE TLTOGO TGTOKELAU TKTONGA TOTRINIDAD UND TOBAGO TTTUNESIEN TNTÜRKEI TRTURKMENISTAN TMTURKS- UND CAICOSINSELN TCTUVALU TVUGANDA UGUKRAINE UAVEREINIGTE ARABISCHE EMIRATE AEVEREINIGTES KÖNIGREICHGROSSBRITANNIEN UND NORDIRLAND

GB

VEREINIGTE STAATEN VON AMERIKA USUNITED STATES MINOR OUTLYINGISLANDS

UM

URUGUAY UYUSBEKISTAN UZVANUATU VUVATIKANSTADT VAVENEZUELA VEVIETNAM VNJUNGFERNINSELN, BRITISCHE VGJUNGFERNINSELN, AMERIKANISCHE VIWALLIS UND FUTUNA WFWESTLICHE SAHARA EHJEMEN YEZAIRE (KONGO, DEMOKRATISCHEREPUBLIK)

CD

SAMBIA ZMZIMBABWE ZW

3.3.2.1.11.3 Liste der blockierten Länder

Legen Sie Länder fest, die Sie sperren und aus denen Sie keine Nachrichten empfangen möchten. Um ein Land zurListe Blockierte Länder: hinzuzufügen, wählen Sie es aus der Spalte Ländercode: aus und klicken Sie aufHinzufügen. Um ein Land aus der Liste Blockierte Länder: zu entfernen, wählen Sie den Ländercode aus undklicken Sie auf Entfernen.

Eine Liste der Ländercodes finden Sie im Abschnitt Liste der üblichen Länder .49

54

3.3.2.1.11.4 Liste der blockierten Zeichensätze

Legen Sie die Zeichensätze fest, die blockiert werden sollen. Nachrichten, die in einem der angegebenenZeichensätze erstellt wurden, werden nicht empfangen. Um einen Zeichensatz hinzuzufügen, wählen Sie ihn ausder Spalte Zeichensätze: aus und klicken Sie auf Hinzufügen. Der ausgewählte Zeichensatz wird nun in der SpalteBlockierte Zeichensätze: angezeigt. Um einen Zeichensatz aus der Liste Blockierte Zeichensätze: zu entfernen,wählen Sie den Zeichensatz aus und klicken Sie auf Entfernen.

Wenn Sie einen Zeichensatz zur Liste der blockierten Zeichensätze hinzufügen, können Sie einen eigenen Spam-Score für diesen bestimmten Zeichensatz festlegen. Der Standardwert ist 100. Sie können für jeden Zeichensatzeinen eigenen Wert festlegen.

3.3.2.1.12 Log-Dateien

Detailliertes Logging aktivieren – Aktiviert das Erstellen von Log-Dateien mit großem Informationsumfang.

Umleitung Ausgabedateien: – Leitet die Log-Ausgabedatei in das hier festgelegte Verzeichnis um. Klicken Sie auf..., um nach dem Verzeichnis zu suchen, statt es manuell einzugeben.

3.3.2.1.13 Statistiken

Logs mit statistischen Daten erstellen – IP-Adressen, Domänen, URLs, verdächtige Wörter usw. werden imKonfigurationsdateisystem in eine Log-Datei geschrieben. Diese Logs können automatisch auf die Analyseserverdes Spamschutz-Modul hochgeladen werden. Die Logs können zur Anzeige in das Nur-Text-Format konvertiertwerden.

Statistiken zur Analyse einreichen – Startet einen Thread, um Dateien mit statistischen Daten automatisch aufdie Analyseserver des Spamschutz-Moduls hochzuladen.

Adresse des Analyseservers: – URL, zu der die Dateien mit statistischen Daten hochgeladen werden.

3.3.2.1.14 Optionen

Automatische Konfiguration: – Legt Optionen auf Grundlage der vom Benutzer eingegebenen Angaben zuSystem, Leistung und Ressourcenanforderungen fest.

Konfigurationsdatei erstellen – Erstellt die Datei antispam.cfg, die Konfigurationsdaten zum Spamschutz-Modulenthält. Die Datei befindet sich unter C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server2008) bzw. C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (WindowsServer 2000 und 2003).

55


Jede von ESET Mail Security geprüfte E-Mail, die als Spam eingestuft wurde, kann mit einem Prüfhinweis im Betreffgekennzeichnet werden. Standardmäßig ist dies der Hinweis [SPAM], es kann sich aber auch um einenbenutzerdefinierten Text handeln.

HINWEIS: Im Hinweistext für den Betreff können Sie auch Systemvariablen verwenden.

3.4 Häufig gestellte Fragen (FAQ)

F: Nach der Installation des Spam-Schutzes von EMSX kommen keine E-Mails mehr im Postfach an.

A: Dies ist normal, wenn Greylisting aktiviert ist. In den ersten Betriebsstunden kann sich das Weiterleiten der E-Mails an das Postfach um einige Stunden verzögern. Sollte dies länger der Fall sein, sollten Sie Greylistingdeaktivieren (oder rekonfigurieren).

F: Wird bei der Anlagen-Prüfung mit VSAPI auch der Nachrichtentext geprüft?

A: Ab Microsoft Exchange Server 2000 SP2 prüft VSAPI auch Nachrichtentexte.

F: Wieso werden E-Mails weiterhin geprüft, obwohl VSAPI deaktiviert wurde?

A: Änderungen an den VSAPI-Einstellungen werden asynchron vorgenommen; das bedeutet, die neueKonfiguration von VSAPI tritt erst in Kraft, wenn Microsoft Exchange Server sie aufruft. Dies passiert in Abständenvon etwa einer Minute. Dies gilt auch für alle anderen VSAPI-Einstellungen.

F: Kann VSAPI die gesamte Nachricht entfernen, wenn eine Anlage infiziert ist?

A: Ja, VSAPI kann die gesamte Nachricht entfernen. Dazu muss allerdings die Option Gesamte Nachricht löschenim Bereich Aktionen der VSAPI-Einstellungen aktiviert sein. Diese Option ist ab Microsoft Exchange Server 2003verfügbar. Ältere Versionen von Microsoft Exchange Server unterstützen das Löschen ganzer Nachrichten nicht.

F: Prüft VSAPI auch ausgehende E-Mails auf Viren?

A: Ja, VSAPI prüft auch ausgehende E-Mails, es sei denn, Sie haben in Ihrem E-Mail-Programm einen anderen alsIhren Exchange-Server als SMTP-Server angegeben. Diese Funktion ist ab Microsoft Exchange Server 2000 Service

56

Pack 3 verfügbar.

F: Kann über VSAPI jeder geprüften E-Mail ein Prüfhinweis hinzugefügt werden, wie es mit dem Transport-Agentenmöglich ist?

A: Microsoft Exchange Server unterstützt das Hinzufügen von Text zu VSAPI-geprüften E-Mails nicht.

F: Ich kann manchmal eine bestimmte E-Mail nicht mit Microsoft Outlook öffnen. Wieso?

A: Für die Option Aktion, wenn Säubern nicht möglich ist im Bereich Aktionen der VSAPI-Einstellungen istwahrscheinlich die Aktion Blockieren eingestellt oder Sie haben eine neue Regel mit dieser Aktion erstellt. BeideEinstellungen markieren und blockieren infizierte Nachrichten und/oder Nachrichten, die die oben erwähnte Regelerfüllen.

F: Was bedeutet die Option Zeitbegrenzung für Antwort im Bereich Performance?

A: Wenn Sie Microsoft Exchange Server 2000 SP2 oder später installiert haben, steht der Wert Zeitbegrenzung fürAntwort für die maximale Sekundenzahl, die für die VSAPI-Prüfung eines Threads notwendig ist. Wird die Prüfunginnerhalb der festgelegten Zeit nicht abgeschlossen, verweigert Microsoft Exchange Server dem Client den Zugriffauf die E-Mail. Die Prüfung wird nicht unterbrochen; nach ihrem Ende ist der Zugriff auf die Datei jederzeit möglich.Bei Microsoft Exchange Server 5.5 SP3 oder SP4 ist der Wert in Millisekunden angegeben und steht für denZeitraum, bis das E-Mail-Programm erneut versucht, auf eine Datei zuzugreifen, die zuvor geprüft wurde und damitnicht verfügbar war.

F: Wie lang darf die Liste der Dateitypen für eine Regel sein?

A: Die Liste der Dateinamens-Erweiterungen darf für eine Regel maximal 255 Zeichen umfassen.

F: Ich habe die Hintergrundprüfung mit VSAPI aktiviert. Bis jetzt wurden Nachrichten auf dem Exchange-Serverstets nach jedem Update der Signaturdatenbank geprüft. Nach dem letzten Update fand keine Prüfung statt. Woliegt das Problem?

A: Verschiedene Faktoren entscheiden darüber, ob alle E-Mails sofort geprüft werden oder erst, wenn der Benutzereine E-Mail öffnen möchte. Zu diesen Faktoren zählen die Server-Auslastung, die erforderliche Prozessorzeit für diePrüfung aller E-Mails und die Anzahl der E-Mails. Bevor eine E-Mail den Posteingang des E-Mail-Programmserreicht, wird sie jedoch in jedem Falle von Microsoft Exchange Server geprüft.

F: Weshalb erhöhte sich der Regel-Zähler nach dem Erhalt einer einzigen E-Mail um mehr als eins?

A:Die Überprüfung der Nachrichten mit Anwendung der Regeln erfolgt durch den Transport-Agenten (TA) oderVSAPI. Sind sowohl TA als auch VSAPI aktiviert und die E-Mail erfüllt die Regelbedingungen, kann sich der Regel-Zähler um 2 oder mehr erhöhen. VSAPI wendet die Regeln für alle E-Mail-Komponenten, die unabhängigvoneinander geprüft werden (Body, Anlage), einzeln an. Darüber hinaus kommen die Regeln auch bei derHintergrundprüfung (z. B. regelmäßige Prüfung der Postfächer nach Update der Signaturdatenbank) zum Einsatz,was den Regel-Zähler steigen lassen kann.

F: Ist ESET Mail Security 4 für Microsoft Exchange Server mit dem intelligenten Nachrichtenfilter (IMF) kompatibel?

A: Ja, ESET Mail Security 4 für Microsoft Exchange Server (EMSX) ist mit dem intelligenten Nachrichtenfilter (IMF)kompatibel. Wird eine E-Mail als Spam eingestuft, wird folgendermaßen verfahren:

– Ist für den Spam-Schutz von ESET Mail Security die Option Nachricht löschen (oder Nachricht inQuarantäne verschieben) aktiviert, ist diese Aktion der vom IMF des Exchange-Servers übergeordnet.

– Ist für den Spam-Schutz von ESET Mail Security Keine Aktion gewählt, treten die Einstellungen des IMF inKraft und die entsprechende Aktion wird ausgeführt (z. B. Löschen, Abweisen, Archivieren). Damit diesordnungsgemäß funktioniert, muss die Option Spam-Wahrscheinlichkeit (SCL) auf Basis von Spam-Score ingeprüfte Nachrichten schreiben (unter Server-Schutz > Microsoft Exchange Server > Transport-Agent)aktiviert sein.

57

F: Wie muss ich ESET Mail Security einrichten, damit unerwünschte E-Mails in den benutzerdefinierten Spamordnervon Microsoft Outlook verschoben werden?

A: In den Standardeinstellungen von ESET Mail Security ist festgelegt, dass unerwünschte E-Mails im Ordner Junk-E-Mail von Microsoft Outlook gespeichert werden. Um dies zu ermöglichen, deaktivieren Sie die Option Spam-Score in den Header geprüfter E-Mails schreiben (unter F5 > Server-Schutz > Spam-Schutz > MicrosoftExchange Server > Transport-Agent). Mit den folgenden Schritten können Sie unerwünschte Nachrichten ineinem anderen Ordner speichern:

1) In ESET Mail Security:

– Wechseln Sie zur Baumstruktur der erweiterten Einstellungen (F5).

– Navigieren Sie zu Serverschutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent.

– Wählen Sie im Dropdownmenü Aktion für Spam-Mails den Eintrag Nachricht behalten aus.

– Deaktivieren Sie das Kontrollkästchen Spam-Score in den Header geprüfter Nachrichten schreiben.

– Wechseln Sie zu Warnungen und Hinweise unter Spam-Schutz.

– Definieren Sie im Feld Text, der zur Betreffzeile von Spam-Mails hinzugefügt wird: einen Text, der zumBetrefffeld unerwünschter Nachrichten hinzugefügt wird, beispielsweise „[SPAM]“.

2) In Microsoft Outlook:

– Erstellen Sie eine Regel, mit der E-Mails mit einem bestimmten Text („[SPAM]“) in der Betreffzeile in dengewünschten Ordner verschoben werden.

Ausführlichere Anweisungen finden Sie in diesem Knowledgebase-Artikel.

F: In der Statistik des Spam-Schutzes sind viele Nachrichten als Nicht geprüft kategorisiert. Wieso lässt der Spam-Schutz Nachrichten ungeprüft?

A: Die Kategorie Nicht geprüft besteht aus:

Allgemein:

Alle Nachrichten, die bei auf allen Sicherheitsebenen (E-Mail-Server, Transport-Agent) deaktiviertem Spam-Schutz geprüft wurden.

Microsoft Exchange Server 2003:

Alle Nachrichten von einer IP-Adresse, die in der Globalen Annahmeliste des intelligenten Nachrichtenfilters(IMF) enthalten ist

Nachrichten von authentifizierten Absendern

Microsoft Exchange Server 2007:

Alle intern versendeten Nachrichten (alle werden vom Spam-Schutz-Modul geprüft)

Nachrichten von authentifizierten Absendern

Nachrichten von Benutzern, deren Konto zur Umgehung des Spam-Schutzes konfiguriert wurde

Alle Nachrichten an ein Postfach, für das die Option AntispamBypass aktiviert ist.

Alle Nachrichten von Absendern auf der Liste Sichere Absender.

HINWEIS: E-Mail-Adressen, die in der Positivliste und den Einstellungen für den Spam-Schutz vermerkt sind,gehören nicht zur Kategorie Nicht geprüft, da diese Liste nur Nachrichten enthält, die nie vom Spam-Schutz-Modulverarbeitet wurden.

F: Wenn E-Mail-Programme POP3 zum Abholen der E-Mails verwenden (und so den Microsoft Exchange-Serverumgehen), sich die Postfächer aber auf diesem Exchange-Server befinden, werden diese E-Mails dann auch vonESET Mail Security auf Viren und Spam geprüft?

A: Bei dieser Konfiguration prüft ESET Mail Security die E-Mails, die auf dem Exchange-Server gespeichert sind, nur


58

auf Viren (mit VSAPI). Es besteht kein Spam-Schutz, da dafür ein SMTP-Server notwendig ist.

F: Kann ich festlegen, ab welchem Spam-Score eine Nachricht als Spam eingestuft wird?

A: Ja, ab ESET Mail Security Version 4.3 können Sie diese Grenze festlegen (siehe Kapitel Spamschutz-Modul ).

F: Prüft der Spam-Schutz von ESET Mail Security auch E-Mails, die mit POP3-Connector heruntergeladen wurden?

A: ESET Mail Security unterstützt den Standard-POP3-Connector von Microsoft SBS auf SBS 2008. Nachrichten, dieüber diesen POP3-Connector heruntergeladen werden, werden auf Spam überprüft. Der Standard-Microsoft SBS-POP3-Connector unter SBS 2003 wird jedoch nicht unterstützt. Es gibt auch POP3-Connectors von Drittanbietern.Ob die über einen Drittanbieter-POP3-Connector abgerufenen Nachrichten auf Spam geprüft werden, hängt davonab, wie der POP3-Connector ausgelegt ist und wie Nachrichten über diesen POP3-Connector abgerufen werden.Weitere Informationen hierzu finden Sie im Hilfethema POP3-Connector und Spam-Schutz .

39

38

59

4. ESET Mail Security – Server-SchutzNeben dem Schutz von Microsoft Exchange Server bietet ESET Mail Security auch Möglichkeiten, den Server selbstzu schützen (Hintergrundwächter, Web-Schutz, E-Mail-Client-Schutz und Spam-Schutz).

4.1 Viren- und Spyware-Schutz

Virenschutzlösungen bieten durch Überwachung der Daten-, E-Mail- und Internet-Kommunikation Schutz vorbösartigen Systemangriffen. Wird eine Bedrohung durch Schadcode erkannt, kann das Virenschutz-Modul denCode unschädlich machen, indem es zunächst die Ausführung des Codes blockiert und dann den Code entferntbzw. die Datei löscht oder in die Quarantäne verschiebt.

4.1.1 Echtzeit-Dateischutz

Der Echtzeit-Dateischutz überwacht alle für den Virenschutz relevanten Systemereignisse. Alle Dateien werdenbeim Öffnen, Erstellen oder Ausführen auf Ihrem Computer auf Schadcode geprüft. Der Echtzeit-Dateischutz wirdbeim Systemstart gestartet.

4.1.1.1 Prüfeinstellungen

Der Echtzeit-Dateischutz prüft alle Datenträger, wobei die Prüfung von verschiedenen Ereignissen ausgelöst wird.Durch die Verwendung der ThreatSense-Erkennungsmethoden (siehe Abschnitt Einstellungen für ThreatSense )kann der Echtzeit-Dateischutz für neu erstellte und vorhandene Dateien variieren. Neu erstellte Dateien könneneiner noch gründlicheren Prüfung unterzogen werden.

Bereits geprüfte Dateien werden nicht erneut geprüft (sofern sie nicht geändert wurden), um die Systembelastungdurch den Echtzeit-Dateischutz möglichst gering zu halten. Nach einem Update der Signaturdatenbank werden dieDateien sofort wieder geprüft. Mit der Smart-Optimierung legen Sie diese Prüfeinstellung fest. Ist diese Optiondeaktiviert, werden alle Dateien bei jedem Zugriff geprüft. Um den Optionsmodus zu ändern, öffnen Sie das Fenstermit den erweiterten Einstellungen und klicken auf Viren- und Spyware-Schutz > Echtzeit-Dateischutz. KlickenSie als Nächstes auf die Schaltfläche Einstellungen neben Einstellungen für ThreatSense, dann auf Sonstige undaktivieren bzw. deaktivieren Sie die Option Smart-Optimierung aktivieren.

Der Echtzeit-Dateischutz wird standardmäßig beim Systemstart gestartet und fortlaufend ausgeführt. InAusnahmefällen (z. B. bei einem Konflikt mit einer anderen Echtzeitprüfung) kann die Ausführung des Echtzeit-Dateischutzes abgebrochen werden. Deaktivieren Sie dazu die Option Echtzeit-Dateischutz automatisch starten.

75

60

4.1.1.1.1 Zu prüfende Datenträger

In der Standardeinstellung werden alle Datenträger auf mögliche Bedrohungen geprüft.

Lokale Laufwerke - Alle lokalen Laufwerke werden geprüft

Wechselmedien - Disketten, USB-Speichergeräte usw.

Netzlaufwerke - Alle zugeordneten Netzlaufwerke werden geprüft

Es wird empfohlen, diese Einstellungen nur in Ausnahmefällen zu ändern, z. B. wenn die Prüfung bestimmterDatenträger die Datenübertragung deutlich verlangsamt.

4.1.1.1.2 Prüfen beim (ereignisgesteuerte Prüfung)

Standardmäßig werden alle Dateien beim Öffnen, Erstellen und Ausführen geprüft. Wir empfehlen Ihnen, dieStandardeinstellungen beizubehalten. So bietet der Echtzeit-Dateischutz auf Ihrem Computer maximaleSicherheit.

Über die Option Diskettenzugriff können Sie den Bootsektor einer Diskette prüfen, wenn auf das entsprechendeLaufwerk zugegriffen wird. Über die Option Herunterfahren können Sie die Festplatten-Bootsektoren beimHerunterfahren des Computers prüfen. Auch wenn Boot-Viren heutzutage selten sind, sollten Sie diese Optionendennoch aktivieren, da die Gefahr der Infektion durch einen Boot-Virus aus alternativen Quellen durchaus besteht.

4.1.1.1.3 Erweiterte Optionen für Prüfungen

Weitere Einstellungsoptionen sind unter Computer-Schutz > Viren- und Spyware-Schutz > Echtzeit-Dateischutz> Erweiterte Einstellungen verfügbar.

Zusätzliche ThreatSense-Einstellungen für neu erstellte und geänderte Dateien - Das Infektionsrisiko für neuerstellte oder geänderte Dateien ist vergleichsweise größer als für vorhandene Dateien. Daher prüft das Programmsolche Dateien mit zusätzlichen Parametern. Zusätzlich zu den Prüfmethoden auf Signaturbasis wird die AdvancedHeuristik verwendet, wodurch die Erkennungsrate deutlich steigt. Neben neu erstellten Dateien werden auchselbstentpackende Archive (SFX) und laufzeitkomprimierte Dateien (intern komprimierte, ausführbare Dateien)geprüft. In den Standardeinstellungen werden Archive unabhängig von ihrer eigentlichen Größe bis zur 10.Verschachtelungstiefe geprüft. Deaktivieren Sie die Option „Standard-Archivprüfeinstellungen“, um dieArchivprüfeinstellungen zu ändern.

Zusätzliche ThreatSense.Net-Einstellungen für ausführbare Dateien - In den Standardeinstellungen wird bei der

61

Dateiausführung keine Advanced Heuristik verwendet. Unter Umständen kann es jedoch sinnvoll sein, dieseOption mit dem Kontrollkästchen Advanced Heuristics bei Dateiausführung zu aktivieren. Beachten Sie, dass dieAdvanced Heuristik die Ausführung einiger Programme aufgrund erhöhter Systemanforderungen verlangsamenkann.

4.1.1.2 Säuberungsstufen

Für den Echtzeit-Dateischutz stehen drei Säuberungsstufen zur Auswahl. Um eine Säuberungsstufe auszuwählen,klicken Sie auf die Schaltfläche Einstellungen im Bereich Echtzeit-Dateischutz und dann auf Säubern.

Auf der ersten Stufe, Nicht säubern, wird für jede erkannte eingedrungene Schadsoftware eine Warnungangezeigt, die eine Auswahl an Optionen bereitstellt. Sie müssen für jede eingedrungene Schadsoftware eineeigene Aktion auswählen. Diese Stufe eignet sich für fortgeschrittene Benutzer, die wissen, wie sie im Falleeingedrungener Schadsoftware vorgehen sollen.

Auf der Standard-Säuberungsstufe wird automatisch eine vordefinierte Aktion ausgewählt und ausgeführt, jenach Typ der eingedrungenen Schadsoftware. Eine Nachricht am unteren rechten Bildschirmrand informiert überdie Erkennung und das Löschen infizierter Dateien. Eine automatische Aktion wird nicht ausgeführt, wenn sichdie infizierte Datei in einem Archiv befindet und dieses weitere nicht infizierte Dateien enthält. Gleiches gilt fürObjekte, für die keine vordefinierte Aktion angegeben wurde.

Die dritte Säuberungsstufe, Immer versuchen, automatisch zu entfernen, ist am „aggressivsten“; derSchadcode aller infizierten Objekte wird entfernt. Da hierbei möglicherweise wichtige Dateien verloren gehen,sollten Sie auf diesen Modus nur in besonderen Fällen zurückgreifen.

4.1.1.3 Wann sollten die Einstellungen für den Echtzeit-Dateischutz geändert werden?

Der Echtzeit-Dateischutz ist die wichtigste Komponente für ein sicheres System. Daher sollte gründlich geprüftwerden, ob eine Änderung der Einstellungen wirklich notwendig ist. Es wird empfohlen, seine Parameter nur ineinzelnen Fällen zu verändern. Dies kann beispielsweise erforderlich sein, wenn ein Konflikt mit einer bestimmtenAnwendung oder der Echtzeit-Prüfung eines anderen Virenschutzprogramms vorliegt.

Bei der Installation von ESET Mail Security werden alle Einstellungen optimal eingerichtet, um dem Benutzer diegrößtmögliche Schutzstufe für das System zu bieten. Um die Standardeinstellungen wiederherzustellen, klicken Sieauf die Schaltfläche Standard unten rechts im Fenster Echtzeit-Dateischutz (Erweiterte Einstellungen > Viren-und Spyware-Schutz > Echtzeit-Dateischutz).

62

4.1.1.4 Echtzeit-Dateischutz prüfen

Um sicherzustellen, dass der Echtzeit-Dateischutz aktiv ist und Viren erkennt, verwenden Sie eine Testdatei voneicar.com. Diese Testdatei ist harmlos und wird von allen Virenschutzprogrammen erkannt. Die Datei wurde vonder Firma EICAR (European Institute for Computer Antivirus Research) erstellt, um die Funktionalität vonVirenschutzprogrammen zu testen. Die Datei „eicar.com“ kann unter http://www.eicar.org/download/eicar.comheruntergeladen werden.

HINWEIS: Bevor Sie eine Prüfung des Echtzeit-Dateischutzes durchführen, müssen Sie die Firewall deaktivieren. Beiaktivierter Firewall wird die Datei erkannt, und die Testdateien können nicht heruntergeladen werden.

4.1.1.5 Vorgehensweise bei fehlerhaftem Echtzeit-Dateischutz

Im nächsten Kapitel werden mögliche Probleme mit dem Echtzeit-Dateischutz sowie Lösungsstrategienbeschrieben.

Echtzeit-Dateischutz ist deaktiviert

Der Echtzeit-Dateischutz wurde versehentlich von einem Benutzer deaktiviert und muss reaktiviert werden. Umden Echtzeit-Dateischutz wieder zu aktivieren, klicken Sie im Hauptprogrammfenster auf Einstellungen > Viren-und Spyware-Schutz > Echtzeit-Dateischutz aktivieren.

Wenn der Echtzeit-Dateischutz beim Systemstart nicht gestartet wird, ist wahrscheinlich die Option Echtzeit-Dateischutz automatisch starten deaktiviert. Zum Reaktivieren dieser Option klicken Sie in den erweitertenEinstellungen (F5) auf Echtzeit-Dateischutz. Aktivieren Sie im Bereich Erweiterte Einstellungen am unteren Randdes Fensters das Kontrollkästchen Echtzeit-Dateischutz automatisch starten.

Echtzeit-Dateischutz erkennt und entfernt keinen Schadcode

Stellen Sie sicher, dass keine anderen Virenschutzprogramme auf Ihrem Computer installiert sind. Zwei parallelausgeführte Schutzprogramme können miteinander in Konflikt geraten. Wir empfehlen Ihnen, alle anderenVirenschutzprogramme zu deinstallieren.

Echtzeit-Dateischutz startet nicht

Wenn der Echtzeit-Dateischutz beim Systemstart nicht gestartet wird (und die Option Echtzeit-Dateischutzautomatisch starten aktiviert ist), kann das an Konflikten mit anderen Programmen liegen. Sollte dies der Fallsein, wenden Sie sich an den ESET-Support.

http://www.eicar.org/download/eicar.com

63

4.1.2 E-Mail-Client-Schutz

Der E-Mail-Schutz dient der Überwachung eingehender E-Mails, die mit dem POP3-Protokoll übertragen werden.Mithilfe der Plugin-Software für Microsoft Outlook stellt ESET Mail Security Kontrollfunktionen für die gesamte E-Mail-Kommunikation (POP3, MAPI, IMAP, HTTP) bereit.

Für die Prüfung eingehender Nachrichten verwendet das Programm alle erweiterten ThreatSense-Prüfmethoden.Die Erkennung von Schadcode findet also noch vor dem Abgleich mit der Signaturdatenbank statt. Die Prüfung derPOP3-Kommunikation erfolgt unabhängig vom verwendeten E-Mail-Programm.

4.1.2.1 POP3-Prüfung

Das POP3-Protokoll ist das am häufigsten verwendete Protokoll zum Empfangen von E-Mails mit einem E-Mail-Programm. ESET Mail Security bietet POP3-Protokoll-Schutzfunktionen unabhängig vom verwendeten E-Mail-Programm.

Das Modul, das diese Kontrollfunktion bereitstellt, wird automatisch beim Systemstart initialisiert und ist dann imSpeicher aktiv. Um das Modul einsetzen zu können, muss es aktiviert sein. Die POP3-Prüfung wird automatischausgeführt, und das E-Mail-Programm muss nicht neu konfiguriert werden. In der Standardeinstellung wird diegesamte Kommunikation über Port 110 geprüft. Bei Bedarf können weitere Kommunikationsports hinzugefügtwerden. Portnummern müssen durch ein Komma voneinander getrennt sein.

Verschlüsselter Datenverkehr wird nicht geprüft.

Um den POP3/POP3S-Filter nutzen zu können, müssen Sie zuerst das Prüfen von Anwendungsprotokollenaktivieren. Wenn die Optionen für POP3/POP3S grau dargestellt sind, klicken Sie im Bereich „ErweiterteEinstellungen“ auf Computer-Schutz > Viren- und Spyware-Schutz > Prüfen von Anwendungsprotokollen undaktivieren Sie die Option Prüfen von anwendungsspezifischen Protokollen aktivieren. Im Abschnitt Prüfen vonAnwendungsprotokollen finden Sie weitere Informationen zum Prüfen mit Filtern und zu deren Konfiguration.

64

4.1.2.1.1 Kompatibilität

Bei bestimmten E-Mail-Programmen können Probleme bei der POP3-Prüfung auftreten (wenn Sie z. B. einelangsame Internetverbindung verwenden, kann es beim Prüfen zu Zeitüberschreitungen kommen). Sollte dies derFall sein, ändern Sie die Prüfeinstellungen. Wenn Sie die Prüfmethoden lockern, kann dies die Geschwindigkeit beimEntfernen von Schadcode erhöhen. Um den Grad der POP3-Prüfung anzupassen, klicken Sie in den erweitertenEinstellungen auf Viren- und Spyware-Schutz > Spyware-Schutz > E-Mail-Schutz > POP3, POP3S >Kompatibilität.

Bei Aktivierung der Option Maximaler Funktionsumfang werden Infiltrationen aus infizierten Nachrichtenentfernt (wenn die Optionen Löschen oder Säubern aktiviert sind oder wenn die Säuberungsstufe Immerversuchen, automatisch zu säubern bzw. Standard aktiviert ist) und Informationen über die Infiltration werdenvor dem ursprünglichen E-Mail-Betreff eingefügt.

Mittlere Kompatibilität ändert die Art und Weise, wie Nachrichten empfangen werden. Nachrichten werdenstückweise an das E-Mail-Programm gesendet. Nachdem der letzte Teil der Nachricht übertragen wurde, wird dieNachricht auf Schadcode geprüft. Bei dieser Prüfmethode steigt das Infektionsrisiko. Die Säuberungsstufe und dieBehandlung von Prüfhinweisen (Warnhinweise, die an die Betreffzeile und den E-Mail-Body angehängt werden)entsprechen den Einstellungen der Option „Maximaler Funktionsumfang“.

Bei der Stufe Maximaler Funktionsumfang wird der Benutzer mithilfe einer Warnung über den Empfang einerinfizierten Nachricht informiert. Es werden keine Informationen über infizierte Dateien an die Betreffzeile oder denBody eingegangener Nachrichten angehängt, und eingedrungener Schadcode wird nicht automatisch entfernt; Siemüssen infizierte Dateien in dem E-Mail-Programm löschen.

4.1.2.2 Integration mit E-Mail-Programmen

Die Integration von ESET Mail Security mit E-Mail-Programmen verbessert den aktiven Schutz gegen Schadcode inE-Mail-Nachrichten. Wenn Ihr E-Mail-Programm dies unterstützt, kann die Integration in ESET Mail Securityaktiviert werden. Bei aktivierter Integration kontrolliert ESET Mail Security die Verbindungen zum E-Mail-Programm, und die E-Mail-Kommunikation wird dadurch sicherer. Die Integrationseinstellungen finden Sie unter Einstellungen > Erweiterte Einstellungen > Allgemein > Integration in E-Mail-Programme. Über die Option„Integration in E-Mail-Programme“ können Sie die Integration mit unterstützten E-Mail-Programmen aktivieren. Zuden derzeit unterstützten E-Mail-Programmen gehören Microsoft Outlook, Outlook Express, Windows Mail,Windows Live Mail und Mozilla Thunderbird.

Wählen Sie die Option Prüfen neuer Elemente im Posteingang deaktivieren, falls Sie während der Arbeit mitIhrem E-Mail-Programm eine Systemverlangsamung bemerken. Dies kann auftreten, wenn Sie E-Mails vom Kerio

65

Outlook Connector Store herunterladen.

Sie aktivieren den E-Mail-Schutz auf folgendem Weg: Einstellungen > Erweiterte Einstellungen > Allgemein > E-Mail-Client-Schutz > Viren- und Spyware-Schutz für E-Mail-Client-Schutz aktivieren.

4.1.2.2.1 E-Mail-Body Prüfhinweise hinzufügen

Jede von ESET Mail Security geprüfte E-Mail kann durch Hinzufügen eines Prüfhinweises an den Betreff oder den E-Mail-Body markiert werden. Diese Funktion erhöht beim Empfänger die Glaubwürdigkeit von Nachrichten. Bei derErkennung von eingedrungener Schadsoftware stehen wertvolle Informationen zur Verfügung, um denBedrohungsgrad durch die Nachricht oder den Absender einzuschätzen.

Die Optionen für diese Funktion finden Sie unter Erweiterte Einstellungen > Viren- und Spyware-Schutz > E-Mail-Client-Schutz. Sie haben folgende Optionen: Prüfhinweis zu eingehenden/gelesenen E-Mails hinzufügenund Prüfhinweis zu ausgehenden E-Mails hinzufügen. Außerdem können Sie entscheiden, ob Prüfhinweise allengeprüften E-Mails, nur infizierten E-Mails oder gar keinen E-Mails hinzugefügt werden.

ESET Mail Security kann auch Hinweise an den ursprünglichen Betreff der infizierten E-Mails anhängen. Wählen Siedazu Prüfhinweis an den Betreff empfangener und gelesener infizierter E-Mails anhängen und Prüfhinweis anden Betreff ausgehender infizierter E-Mails anhängen.

Der Inhalt der Hinweise kann im Feld Text, der zur Betreffzeile infizierter E-Mails hinzugefügt wird bearbeitetwerden. Die erwähnte Bearbeitung kann das Filtern von infizierten E-Mails automatisieren, indem infizierte E-Mailsmit einem bestimmten Betreff in einem separaten Ordner abgelegt werden (falls Ihr E-Mail-Programm diesunterstützt).

4.1.2.3 Eingedrungene Schadsoftware entfernen

Bei Empfang einer infizierten E-Mail-Nachricht wird eine Warnung angezeigt. Die Warnung enthält den Namen desAbsenders, die E-Mail und den Namen der eingedrungenen Schadsoftware. Im unteren Bereich des Fensters könnenSie zwischen den Optionen Säubern, Löschen oder Übergehen für das erkannte Objekt auswählen. In fast allenFällen sollten Sie entweder Säubern oder Löschen wählen. Um die infizierte Datei in Ausnahmesituationen zuempfangen, wählen Sie Übergehen.

Bei Aktivierung von Immer versuchen, automatisch zu säubern enthält das angezeigte Informationsfensterkeinerlei Auswahloptionen für das infizierte Objekt.

66

4.1.3 Web-Schutz

Internetzugang ist eine Standardfunktion von Computern. Leider ist diese technische Möglichkeit mittlerweileauch der wichtigste Weg zur Verbreitung von Schadsoftware. Daher müssen Sie Art und Umfang Ihres Web-Schutzes genau abwägen. Wir empfehlen dringend, dass die Option Viren- und Spyware-Schutz aktivieren zuaktivieren. Dieses Kontrollkästchen erreichen Sie über Erweiterte Einstellungen (F5) > Viren- und Spyware-Schutz > Web-Schutz.

4.1.3.1 HTTP, HTTPS

Der Web-Schutz besteht in der Überwachung der Kommunikation zwischen Webbrowsern und Remoteservern undentspricht den Regeln für HTTP (Hypertext Transfer Protocol) und HTTPS (verschlüsselte Kommunikation). ESETMail Security ist standardmäßig für die Standards der gängigen Webbrowser konfiguriert. Dennoch können Sie dieEinstellungen für die HTTP-Prüfung unter Erweiterte Einstellungen (F5) > Viren- und Spyware-Schutz > Web-Schutz > HTTP, HTTPS bearbeiten. Im Hauptfenster für die HTTP-Filterung können Sie die Option HTTP-Prüfungaktivieren aus- bzw. abwählen. Außerdem können Sie die Portnummern für die HTTP-Kommunikation festlegen. Inder Standardeinstellung sind die Portnummern 80, 8080 und 3128 vorgegeben. Folgende Optionen stehen für dieHTTPS-Prüfung zur Verfügung:

HTTPS-Protokollprüfung nicht verwenden - Verschlüsselte Kommunikation wird nicht geprüft

HTTPS-Protokollprüfung für ausgewählte Ports durchführen - Die HTTPS-Prüfung wird nur für die im BereichPortnutzung HTTPS-Protokoll festgelegten Ports durchgeführt.

67

4.1.3.1.1 Adressverwaltung

In diesem Bereich können Sie festlegen, welche HTTP-Adressen blockiert, zugelassen oder von der Prüfungausgeschlossen werden sollen. Mit den Schaltflächen Hinzufügen, Bearbeiten, Entfernen und Exportierenkönnen Sie die Adresslisten verwalten. Auf Websites, die in der Liste der blockierten Adressen aufgeführt sind, istkein Zugriff möglich. Websites, die in der Liste der ausgeschlossenen Websites aufgeführt sind, werden vor demZugriff nicht auf Schadcode überprüft. Durch Aktivierung der Option Nur Zugriff auf HTTP-Adressen aus der Listezulässiger Adressen erlauben können Sie nur auf Adressen in dieser Liste zugreifen, während alle anderen HTTP-Adressen blockiert werden.

In allen Listen können Sie die Platzhalterzeichen * (Sternchen) und ? (Fragezeichen) verwenden. Das Sternchensteht für eine beliebige Zeichenfolge, das Fragezeichen für ein einzelnes Zeichen. Gehen Sie in diesemZusammenhang bei der Liste der ausgeschlossenen Adressen mit Bedacht vor, da diese nur vertrauenswürdige undsichere Adressen enthalten darf. Achten Sie daher gerade bei dieser Liste darauf, dass die Platzhalter * und ? korrektverwendet werden. Um eine Liste zu aktivieren, wählen Sie die Option Liste aktiv. Wenn Sie beim Zugriff auf eineAdresse aus der aktuellen Liste benachrichtigt werden möchten, wählen Sie Benachrichtigung bei Verwendungvon Adresse aus Liste.

68

4.1.3.1.2 Aktiver Modus

Über die Webbrowser-Funktion von ESET Mail Security können Sie festlegen, ob es sich bei einer Anwendung umeinen Browser handelt oder nicht. Wird eine Anwendung als Browser eingestuft, wird der gesamte Datenverkehrdieser Anwendung überwacht, und zwar unabhängig von den verwendeten Portnummern.

Die Webbrowser-Funktion ist eine Ergänzung der HTTP-Prüfung, da die HTTP-Prüfung nur für ausgewählte Portsdurchgeführt wird. Viele Internetdienste verwenden jedoch sich ändernde oder unbekannte Portnummern. Umdiesem Sachverhalt Rechnung zu tragen, kann mithilfe der Webbrowser-Funktion die gesamte Portkommunikationunabhängig von den Verbindungsparametern überwacht werden.

Die Liste der als Webbrowser eingestuften Anwendungen kann direkt im Untermenü Webbrowser imMenübereich HTTP, HTTPS eingesehen werden. Dieser Abschnitt enthält außerdem das Untermenü Aktiver

69

Modus, in dem der Prüfungsmodus für die Webbrowser festgelegt wird.

Die Funktion Aktiver Modus dient der Untersuchung der übertragenen Daten als Ganzes. Ist die Option nichtaktiviert, wird die Kommunikation der Anwendungen nur Stück für Stück überwacht. Dies verringert die Effizienzder Datenverifizierung, erhöht jedoch die Kompatibilität der aufgeführten Anwendungen. Verursacht das Verfahrenkeine Probleme, sollten Sie den aktiven Modus aktivieren, indem Sie im Kontrollkästchen der gewünschtenAnwendung ein Häkchen setzen.

4.1.4 On-Demand-Prüfung

Wenn Sie den Verdacht haben, dass Ihr Computer infiziert ist (anormales Verhalten), führen Sie eine On-Demand-Prüfung aus, um Ihren Computer auf eingedrungene Schadsoftware zu untersuchen. Aus Sicherheitsgründen ist esdringend erforderlich, dass Sie Ihren Computer nicht nur bei Infektionsverdacht prüfen, sondern diese Prüfung in dieallgemeinen Sicherheitsroutinen integrieren. Durch regelmäßige Prüfungen kann eingedrungene Schadsoftwareerkannt werden, die vom Echtzeit-Dateischutz zum Zeitpunkt der Speicherung der Schadsoftware nicht erkanntwurde. Dies kommt z. B. vor, wenn die Echtzeit-Prüfung zum Zeitpunkt der Infektion deaktiviert war oder dieSignaturdatenbank nicht auf dem neuesten Stand ist.

Sie sollten mindestens einmal im Monat eine On-Demand-Prüfung vornehmen. Sie können die Prüfung als Taskunter Tools > Taskplaner konfigurieren.

70

4.1.4.1 Prüfungstyp

Es gibt zwei verschiedene Arten der On-Demand-Prüfung. Bei der Standardprüfung wird das System schnellüberprüft, ohne dass Sie dafür weitere Prüfparameter konfigurieren müssen. Bei der Methode Prüfen mitspeziellen Einstellungen können Sie ein vordefiniertes Prüfprofil und die zu prüfenden Objekte auswählen.

4.1.4.1.1 Standardprüfung

Mit der Standardprüfung können Sie schnell den Computer prüfen und infizierte Dateien säubern, ohne eingreifenzu müssen. Die Bedienung ist einfach, und es ist keine ausführliche Konfiguration erforderlich. Bei derStandardprüfung werden alle Dateien auf allen Laufwerken geprüft, und erkannte eingedrungene Schadsoftwarewird automatisch entfernt. Als Säuberungsstufe wird automatisch der Standardwert festgelegt. WeitereInformationen zu den Entfernungstypen finden Sie unter Entfernen .

4.1.4.1.2 Prüfen mit speziellen Einstellungen

Über die Option „Prüfen mit speziellen Einstellungen“ können Sie Prüfparameter wie die zu prüfenden Objekte oderPrüfmethoden angeben. Der Vorteil dieser Methode ist die Möglichkeit zur genauen Parameterkonfiguration.Verschiedene Konfigurationen können in benutzerdefinierten Prüfprofilen gespeichert werden. Das ist sinnvoll,wenn Prüfungen wiederholt mit denselben Parametern ausgeführt werden.

Mit der Option Computer prüfen > Prüfen mit speziellen Einstellungen können Sie Zu prüfende Objekte aus derListe oder in der Baumstruktur auswählen. Sie können ein zu prüfendes Objekt auch genauer bestimmen, indem Sieden Pfad zu dem Ordner oder den Dateien eingeben, die geprüft werden sollen. Wenn Sie nur das System ohnezusätzliche Säuberung prüfen möchten, wählen Sie die Option Nur prüfen, keine Aktion. Außerdem können Siezwischen drei Säuberungsstufen wählen. Klicken Sie dazu auf Einstellungen > Säubern.

78

71

4.1.4.2 Zu prüfende Objekte

In der Dropdown-Liste der zu prüfenden Objekte können Sie Dateien, Ordner und Medien (Laufwerke) auswählen,die auf Viren geprüft werden sollen.

Nach Profileinstellungen - Zu prüfende Objekte entsprechen denen, die im Profil festgelegt sind

Wechselmedien - Geprüft werden Disketten, USB-Speichergeräte, CDs/DVDs

Lokale Laufwerke - Geprüft werden alle lokalen Laufwerke

Netzlaufwerke - Geprüft werden alle zugeordneten Netzlaufwerke

Keine Auswahl - Bricht die Zielauswahl ab

Sie können ein zu prüfendes Objekt auch genauer definieren, indem Sie den Pfad zu dem Ordner oder den Dateieneingeben, die geprüft werden sollen. Wählen Sie die zu prüfenden Objekte aus der Baumstruktur aus, in der alle aufdem Computer verfügbaren Ordner aufgelistet werden.

4.1.4.3 Prüfprofile

Ihre bevorzugten Einstellungen können für zukünftige Prüfungen gespeichert werden. Wir empfehlen Ihnen, fürjede regelmäßig durchgeführte Prüfung ein eigenes Profil zu erstellen (mit verschiedenen zu prüfenden Objekten,Prüfmethoden und anderen Parametern).

Um ein neues Profil zu erstellen, öffnen sie das Fenster mit den erweiterten Einstellungen (F5) und klicken Sie auf On-Demand-Prüfung > Profile. Im Fenster Konfigurationsprofile befindet sich eine Dropdown-Liste mit denbestehenden Prüfprofilen und der Option zum Erstellen eines neuen Profils. Eine Beschreibung der einzelnenPrüfeinstellungen finden Sie im Abschnitt Einstellungen für ThreatSense . So können Sie ein Prüfprofil erstellen,das auf Ihre Anforderungen zugeschnitten ist.

BEISPIEL: Nehmen wir an, Sie möchten Ihr eigenes Prüfprofil erstellen. Die Standardprüfung eignet sich ingewissem Maße, aber Sie möchten nicht die laufzeitkomprimierten Dateien oder potenziell unsichereAnwendungen prüfen. Außerdem möchten Sie die Option Immer versuchen, automatisch zu entfernenanwenden. Klicken Sie im Fenster Konfigurationsprofile auf die Schaltfläche Hinzufügen. Geben Sie den Namendes neuen Profils im entsprechenden Feld ein und wählen Sie aus der Dropdown-Liste Einstellungen kopieren vonProfil die Option Smart-Prüfung. Passen Sie anschließend die übrigen Parameter Ihren eigenen Erfordernissen an.

75

72

4.1.4.4 Kommandozeile

Das Virenschutz-Modul von ESET Mail Security kann über die Kommandozeile gestartet werden, entweder manuell(mit dem Befehl „ecls“) oder über eine Batch-Datei („.bat“).

Folgende Parameter und Switches stehen zur Verfügung, um die manuelle Prüfung über die Kommandozeileauszuführen:

Allgemeine Optionen:

- help Hilfe anzeigen und beenden

- version Versionsinformationen anzeigen und beenden

- base-dir = ORDNER Module laden aus ORDNER

- quar-dir = ORDNER Quarantäne-ORDNER

- aind Aktivitätsanzeige anzeigen

Zu prüfende Objekte:

- files Dateien prüfen (Standardeinstellung)

- no-files Dateien nicht prüfen

- boots Bootsektoren prüfen (Standardeinstellung)

- no-boots Bootsektoren nicht prüfen

- arch Archive prüfen (Standardeinstellung)

- no-arch Archive nicht prüfen

- max-archive-level = LEVEL Maximale Verschachtelungsstufe (LEVEL) bei Archiven

- scan-timeout = LIMIT Archive maximal LIMIT Sekunden prüfen. Wenn die Dauerder Prüfung den festgelegten Wert erreicht, wird diePrüfung beendet und die Prüfung der nächsten Dateibeginnt.

- max-arch-size = ANZAHL Nur die ersten ANZAHL Byte in Archiven prüfen(Standardeinstellung: 0 = unbegrenzt)

- mail E-Mail-Dateien prüfen

- no-mail E-Mail-Dateien nicht prüfen

- sfx Selbstentpackende Archive prüfen

- no-sfx Selbstentpackende Archive nicht prüfen

- rtp Laufzeitkomprimierte Dateien prüfen

- no-rtp Laufzeitkomprimierte Dateien nicht prüfen

- exclude = ORDNER ORDNER von der Prüfung ausschließen

- subdir Unterordner prüfen (Standardeinstellung)

- no-subdir Unterordner nicht prüfen

- max-subdir-level = LEVEL Maximale Verschachtelungsstufe (LEVEL) beiuntergeordneten Verzeichnissen(Standardeinstellung: 0 = unbegrenzt)

- symlink Symbolischen Links folgen (Standardeinstellung)

- no-symlink Symbolischen Links nicht folgen

- ext-remove = ERWEITERUNGEN

73

- ext-exclude = ERWEITERUNGEN ERWEITERUNGEN (Trennzeichen Doppelpunkt) nichtprüfen

Methoden:

- adware Auf Adware/Spyware/Riskware prüfen

- no-adware Nicht auf Adware/Spyware/Riskware prüfen

- unsafe Auf potenziell unsichere Anwendungen prüfen

- no-unsafe Nicht auf potenziell unsichere Anwendungen prüfen

- unwanted Auf evtl. unerwünschte Anwendungen prüfen

- no-unwanted Nicht auf potenziell unerwünschte Anwendungen prüfen

- pattern Signaturdatenbank verwenden

- no-pattern Signaturdatenbank nicht verwenden

- heur Heuristik aktivieren

- no-heur Heuristik deaktivieren

- adv-heur Advanced Heuristik aktivieren

- no-adv-heur Advanced Heuristik deaktivieren

Säubern:

- action = AKTION AKTION für infizierte Objekte ausführen. MöglicheAktionen: none, clean, prompt (keine, Säubern,Aufforderung anzeigen)

- quarantine Infizierte Dateien in die Quarantäne kopieren (ergänztAKTION)

- no-quarantine Infizierte Dateien nicht in die Quarantäne kopieren

Logs:

- log-file=DATEI Ausgabe in DATEI protokollieren

- log-rewrite Ausgabedatei überschreiben(Standardeinstellung: Anhängen)

- log-all Saubere Dateien auch in Log aufnehmen

- no-log-all Saubere Dateien nicht in Log aufnehmen(Standardeinstellung)

Mögliche Exitcodes der Prüfung:

0 - keine Bedrohungen gefunden

1 - Bedrohung gefunden, aber nicht entfernt

10 - es sind noch infizierte Dateien vorhanden

101 - Archivfehler

102 - Zugriffsfehler

103 - interner Fehler

HINWEIS: Exitcodes größer 100 bedeuten, dass die Datei nicht geprüft wurde und daher infiziert sein kann.

74

4.1.5 Leistung

In diesem Bereich können Sie die Anzahl der ThreatSense-Prüfengines festlegen, die für den Virenschutz eingesetztwerden. Auf Mehrprozessor-Computern kann eine höhere Anzahl an ThreatSense-Prüfengines die Prüfrateerhöhen. Der zulässige Wertebereich ist 1-20.

Wenn möglich, sollte die Anzahl der ThreatSense-Prüfengines unter erweiterte Einstellungen (F5) > Computer-Schutz > Viren- und Spyware-Schutz > Leistung nach folgender Formel erhöht werden: Anzahl der ThreatSense-Prüfengines = (Anzahl der physischen Prozessoren x 2) + 1. Die Anzahl der Prüfungs-Threads und die Anzahl der ThreatSense-Prüfengines sollten gleich sein. Unter Server-Schutz > Viren- und Spyware-Schutz > Microsoft Exchange Server >VSAPI > Leistung können Sie die Anzahl der Prüfengines festlegen. Beispiel:

Angenommen, Sie besitzen einen Server mit 4 physischen Prozessoren. Die beste Leistung erreichen Sie also nachder oben genannten Formel mit 9 Prüfungs-Threads und 9 Prüfengines.

HINWEIS: Es wird empfohlen, die gleiche Anzahl Prüfungs-Threads und ThreatSense-Prüfengines zu verwenden.Die Leistung des Programms ändert sich nicht, wenn Sie mehr Prüfungs-Threads als Prüfengines festlegen.

HINWEIS: In diesem Bereich vorgenommene Änderungen werden erst nach einem Neustart übernommen.

4.1.6 Prüfen von Anwendungsprotokollen

Die ThreatSense-Prüfengine, in der alle erweiterten Prüfmethoden integriert sind, bietet Virenschutz für dieAnwendungsprotokolle POP3 und HTTP. Die Prüfung ist unabhängig vom eingesetzten E-Mail-Programm oderWebbrowser. Für das Prüfen von Anwendungsprotokollen stehen folgende Optionen zur Verfügung(vorausgesetzt, die Option Prüfen von anwendungsspezifischen Protokollen aktivieren ist aktiviert):

HTTP- und POP3-Ports - Begrenzt die Prüfung des Datenverkehrs auf bekannte HTTP- und POP3-Ports.

Als Webbrowser oder E-Mail-Programme eingestufte Anwendungen - Mit dem Aktivieren dieser Option wirdnur der Datenverkehr von Anwendungen geprüft, die als Webbrowser (Web-Schutz > HTTP, HTTPS > Webbrowser) und E-Mail-Programme (E-Mail-Client-Schutz > POP3, POP3S > E-Mail-Clients) eingestuft sind.

Als Webbrowser oder E-Mail-Programme eingestufte Ports und Anwendungen - Sowohl Ports als auchWebbrowser werden auf Schadsoftware geprüft.

HINWEIS: Ab Windows Vista Service Pack 1 und Windows Server 2008 wird zur Prüfung der Kommunikation eineneue-Filtermethode verwendet. Daher steht das „Prüfen von Anwendungsprotokollen“ nicht zur Verfügung.

4.1.6.1 SSL

Mit ESET Mail Security können Sie Protokolle prüfen, die im SSL-Protokoll gekapselt sind. Für durch SSL geschützteKommunikation gibt es verschiedene Prüfmodi mit vertrauenswürdigen und unbekannten Zertifikaten sowieZertifikaten, die von der Prüfung SSL-geschützter Kommunikation ausgeschlossen sind.

SSL-Protokoll immer prüfen - Aktivieren Sie diese Option, um jegliche SSL-geschützte Kommunikation zu prüfen(außer wenn Zertifikate verwendet werden, die von der Prüfung ausgeschlossen sind). Wird eine Verbindung miteinem unbekannten, signierten Zertifikat erstellt, so wird sie ohne gesonderten Hinweis automatisch geprüft.Wenn Sie auf einen Server mit einem nicht vertrauenswürdigen Zertifikat, das Sie zur Liste der vertrauenswürdigenZertifikate hinzugefügt und damit als vertrauenswürdig eingestuft haben, zugreifen, wird die Kommunikationzugelassen und der Inhalt des Kommunikationskanals geprüft.

Nach nicht besuchten Websites fragen (es können Ausschlüsse festgelegt werden) - Wenn Sie auf eine durchSSL geschützte Website (mit einem unbekannten Zertifikat) zugreifen, wird eine Aktionsauswahl angezeigt. Indiesem Modus können Sie eine Liste von SSL-Zertifikaten erstellen, die von der Prüfung ausgeschlossen sind.

SSL-Protokoll nicht prüfen - Ist diese Option aktiviert, prüft das Programm keine Kommunikation via SSL.

Wenn das Zertifikat nicht über den Speicher vertrauenswürdiger Stammzertifizierungsstellen geprüft werden kann(Prüfen von Anwendungsprotokollen > SSL > Zertifikate):

Gültigkeit des Zertifikats erfragen - Fordert den Benutzer auf, eine Aktion auszuwählen.

Kommunikation blockieren, die das Zertifikat verwendet - Beendet die Verbindung zur Website, die dasZertifikat verwendet.

75

Wird ein ungültiges oder beschädigtes Zertifikat verwendet (Prüfen von Anwendungsprotokollen > SSL >Zertifikate):

Gültigkeit des Zertifikats erfragen - Fordert den Benutzer auf, eine Aktion auszuwählen.

Kommunikation blockieren, die das Zertifikat verwendet - Beendet die Verbindung zur Website, die dasZertifikat verwendet.

4.1.6.1.1 Vertrauenswürdige Zertifikate

Neben dem integrierten Speicher vertrauenswürdiger Stammzertifizierungsstellen, in dem ESET Mail Securityvertrauenswürdige Zertifikate speichert, können diese außerdem in einer benutzerdefinierten Liste abgelegtwerden. Über Erweiterte Einstellungen (F5) > Prüfen von Anwendungsprotokollen > SSL > Zertifikate >Vertrauenswürdige Zertifikate können Sie sich diese Liste anzeigen lassen.

4.1.6.1.2 Ausgeschlossene Zertifikate

Der Bereich „Ausgeschlossene Zertifikate“ enthält Zertifikate, die als sicher gelten. Das Programm prüft den Inhaltverschlüsselter Verbindungen, die ein in dieser Liste enthaltenes Zertifikat verwenden, nicht auf Bedrohungen. Eswird empfohlen, nur garantiert sichere Webzertifikate auszuschließen, sodass die Verbindungen mithilfe dieserZertifikate nicht geprüft werden müssen.

4.1.7 Einstellungen für ThreatSense

ThreatSense ist eine Technologie, die verschiedene Methoden zur Erkennung von Bedrohungen verwendet. DieTechnologie arbeitet proaktiv, d. h. sie schützt das System auch während der ersten Stunden eines neuen Angriffs.Eingesetzt wird eine Kombination verschiedener Methoden (Code-Analyse, Code-Emulation, allgemeineSignaturen, Virussignaturen), die zusammen die Systemsicherheit deutlich erhöhen. Die Prüfengine kannverschiedene Datenströme gleichzeitig kontrollieren und so die Effizienz und Erkennungsrate steigern. DieThreatSense-Technologie entfernt auch erfolgreich Rootkits.

In den Einstellungen für ThreatSense können Sie verschiedene Prüfparameter festlegen:

Dateitypen und -erweiterungen, die geprüft werden sollenDie Kombination verschiedener ErkennungsmethodenSäuberungsstufen usw.

Um das Fenster für die Einstellungen zu öffnen, klicken Sie auf die Schaltfläche Einstellungen, die im Fenster allerModule angezeigt wird, die ThreatSense verwenden (siehe unten). Je nach Anforderung sind eventuell verschiedeneSicherheitseinstellungen erforderlich. Dies sollte bei den individuellen ThreatSense-Einstellungen für die folgendenSchutzmodule berücksichtigt werden:

Echtzeit-DateischutzPrüfung SystemstartdateienE-Mail-Schutz Web-SchutzOn-Demand-Prüfung

Die ThreatSense-Parameter sind für jedes Modul optimal eingerichtet, und eine Veränderung der Einstellungenkann den Systembetrieb deutlich beeinflussen. So kann zum Beispiel eine Änderung der Einstellungen für dasPrüfen laufzeitkomprimierter Dateien oder die Aktivierung der Advanced Heuristik im Echtzeit-Dateischutz dazuführen, dass das System langsamer arbeitet (normalerweise werden mit diesen Methoden nur neu erstellte Dateiengeprüft). Es wird daher empfohlen, die Standard-Parameter für ThreatSense in allen Modulen unverändertbeizubehalten. Änderungen sollten nur im Modul „On-Demand-Prüfung“ vorgenommen werden.

59

63

66

69

76

4.1.7.1 Einstellungen für Objekte

Im Bereich Objekte können Sie festlegen, welche Dateien und Komponenten Ihres Computers auf Schadcodegeprüft werden sollen.

Arbeitsspeicher - Prüfung auf Bedrohungen für den Arbeitsspeicher des Systems.

Systembereiche (Boot, MBR) - Prüfung der Bootsektoren auf Viren im Master Boot Record.

Dateien - Prüfung der gängigen Dateitypen (Programm-, Bild-, Audio-, Video-, Datenbankdateien usw.).

E-Mail-Dateien - Prüfung spezieller Dateien, die E-Mail-Nachrichten enthalten.

Archive - Prüfung von komprimierten Archivdateien (.rar, .zip, .arj, .tar usw.).

Selbstentpackende Archive - Prüfung von Dateien in selbstentpackenden Archiven (üblicherweise mit derErweiterung EXE).

Laufzeitkomprimierte Dateien - Laufzeitkomprimierte Dateien werden (anders als Standard-Archivtypen) imArbeitsspeicher dekomprimiert, zusätzlich zu statisch laufzeitkomprimierten Dateien (UPX, yoda, ASPack, FGSusw.).

HINWEIS: Ein blauer Punkt neben einem Parameter bedeutet, dass der Parameter an dieser Stelle eine andereEinstellung als in anderen ThreatSense-basierten Modulen hat. Da Sie denselben Parameter für jedes Modulunterschiedlich konfigurieren können, soll Sie dieser blaue Punkt auf die Unterschiede hinweisen. Ist kein blauerPunkt zu sehen, so ist der Parameter in allen Modulen identisch konfiguriert.

4.1.7.2 Optionen

Im Bereich Optionen können Sie die Methoden festlegen, die während einer Prüfung des Systems aufeingedrungene Schadsoftware angewendet werden sollen. Die folgenden Optionen stehen zur Verfügung:

Heuristik - Heuristische Methoden verwenden einen Algorithmus, der (bösartige) Aktivitäten von Programmenanalysiert. Mit ihrer Hilfe können bis dato unbekannte Schadprogramme oder Viren, die nicht in der Liste bekannterViren (Signaturdatenbank) aufgeführt waren, erkannt werden.

Advanced Heuristik - Als Advanced-Heuristik werden besondere heuristische Verfahren bezeichnet, die von ESETentwickelt wurden, um Würmer und Trojaner zu erkennen, die in höheren Programmiersprachen geschriebenwurden. Die Erkennungsfähigkeiten des Programms werden durch die Advanced Heuristik erheblich verbessert.

Evtl. unerwünschte Anwendungen - Bei eventuell unerwünschten Anwendungen handelt es sich um Programme,die zwar nicht unbedingt Sicherheitsrisiken mit sich bringen, aber negative Auswirkungen auf Leistung undVerhalten Ihres Computers haben können. Als Benutzer werden Sie normalerweise vor deren Installation zurBestätigung aufgefordert. Nach erfolgter Installation ändert sich das Systemverhalten (im Vergleich zum Stand vorder Installation). Dazu zählen vor allem ungewollte Popup-Fenster, die Aktivierung und Ausführung versteckter

77

Prozesse, die erhöhte Inanspruchnahme von Systemressourcen, Änderungen in Suchergebnissen sowie dieKommunikation von Anwendungen mit Remote-Servern.

Potenziell unsichere Anwendungen - Zur Kategorie der potenziell unsicheren Anwendungen zählen Programme,die zwar erwünscht sind, jedoch potenziell gefährliche Funktionen bereitstellen. Da hierzu auch Programme für dasFernsteuern von Computern gehören, ist diese Option standardmäßig deaktiviert.

Potenziell gefährliche AnhängeDie Option „Potenziell gefährliche Anhänge“ bietet Schutz vor schädlichen Bedrohungen, die als E-Mail-Anhangverbreitet werden, beispielsweise Ransomware-Trojaner. Eine solche Bedrohung kann beispielsweise eineausführbare Datei sein, die als herkömmliche Dokumentdatei (z. B. eine PDF-Datei) „getarnt“ ist. Wenn derBenutzer die Datei öffnet, dringt die Bedrohung in das System ein. Dabei versucht die Bedrohung, die schädlichenZiele im System auszuführen.


78

4.1.7.3 Säubern

Die Einstellungen zum Entfernen von Schadcode legen fest, wie beim Entfernen vorgegangen werden soll. Es gibtdrei Arten der Schadcodeentfernung:

Nicht säubern - Der in infizierten Objekten erkannte Schadcode wird nicht automatisch entfernt. Eine Warnungwird angezeigt, und Sie werden aufgefordert, eine Aktion auszuwählen.

Normales Säubern - Das Programm versucht, den Schadcode automatisch aus der Datei zu entfernen oder eineinfizierte Datei zu löschen. Wenn es nicht möglich ist, die angemessene Aktion automatisch zu bestimmen, wirdder Benutzer aufgefordert, eine Aktion auszuwählen. Diese Auswahl wird dem Benutzer auch dann angezeigt,wenn eine vordefinierte Aktion nicht erfolgreich abgeschlossen werden konnte.

Immer versuchen, automatisch zu säubern - Das Programm entfernt den Schadcode aus infizierten Dateien oderlöscht diese Dateien (einschließlich Archive). Ausnahmen gelten nur für Systemdateien. Wenn es nicht möglich ist,den Schadcode zu entfernen, werden Sie in der angezeigten Warnung aufgefordert, eine Aktion auszuwählen.

Warnung: Im Standardmodus „Normales Säubern“ wird das gesamte Archiv nur gelöscht, wenn es ausschließlichinfizierte Dateien enthält. Sind auch nicht infizierte Dateien vorhanden, wird die Archivdatei nicht gelöscht. ImModus „Immer versuchen, automatisch zu säubern“ wird die gesamte Archivdatei gelöscht, auch wenn sie nichtinfizierte Dateien enthält.


79

4.1.7.4 Erweiterungen

Die Erweiterung ist der Teil des Dateinamens nach dem Punkt. Die Erweiterung definiert den Typ und den Inhalt derDatei. In diesem Abschnitt der ThreatSense-Einstellungen können Sie die Dateitypen festlegen, die geprüft werdensollen.

In der Standardeinstellung werden alle Dateien unabhängig von ihrer Erweiterung geprüft. Jede Erweiterung kannder Liste auszuschließender Dateien hinzugefügt werden. Ist die Option Alle Dateien prüfen deaktiviert, zeigt dieListe alle aktuell geprüften Dateinamens-Erweiterungen an. Über die Schaltflächen Hinzufügen und Entfernenkönnen Sie festlegen, welche Erweiterungen geprüft werden sollen.

Um die Prüfung von Dateien ohne Erweiterung zuzulassen, aktivieren Sie die Option Dateien ohne Erweiterungprüfen.

Der Ausschluss bestimmter Dateien ist dann sinnvoll, wenn die Prüfung bestimmter Dateitypen die Funktion einesProgramms beeinträchtigt, das diese Erweiterungen verwendet. So sollten Sie z. B. die Erweiterungen EDB, EMLund TMP ausschließen, wenn Sie Microsoft Exchange Server verwenden.


4.1.7.5 Grenzen

Im Bereich „Grenzen“ können Sie die Maximalgröße von Elementen und Stufen verschachtelter Archive festlegen,die geprüft werden sollen:

Maximale Objektgröße: - Definiert die Maximalgröße der zu prüfenden Elemente. Der aktuelle Virenschutz prüftdann nur die Elemente, deren Größe unter der angegebenen Maximalgröße liegt. Der Standardwert sollte nichtgeändert werden; für gewöhnlich besteht dazu auch kein Grund. Diese Option sollte nur von fortgeschrittenenBenutzern geändert werden, die bestimmte Gründe dafür haben, größere Objekte von der Prüfung auszuschließen.

Maximale Prüfzeit pro Objekt (Sek.): - Definiert die maximale Dauer für die Prüfung eines Elements. Wenn hier einbenutzerdefinierter Wert eingegeben wurde, beendet der Virenschutz die Prüfung eines Elements, sobald diese Zeitabgelaufen ist, und zwar ungeachtet dessen, ob die Prüfung abgeschlossen ist oder nicht.

Verschachtelungstiefe bei Archiven: - Gibt die maximale Suchtiefe bei Archiven an. Der Standardwert 10 solltenicht geändert werden; unter normalen Umständen besteht dazu auch kein Grund. Wenn die Prüfung aufgrund derAnzahl verschachtelter Archive vorzeitig beendet wird, bleibt das Archiv ungeprüft.

Maximalgröße von Dateien im Archiv: - Mithilfe dieser Option können Sie die maximale Dateigröße der in zuprüfenden Archiven enthaltenen Dateien (im extrahierten Zustand) angeben. Wenn durch Überschreiten diesesWerts die Prüfung vorzeitig beendet wird, bleibt das Archiv ungeprüft.

80


4.1.7.6 Sonstige

Alternative Datenströme (ADS) prüfen - Bei den von NTFS-Dateisystemen verwendeten alternativenDatenströmen (ADS) handelt es sich um Datei- und Ordnerzuordnungen, die mit herkömmlichen Prüftechnikennicht erkannt werden können. Eingedrungene Schadsoftware tarnt sich häufig als alternativer Datenstrom, umnicht erkannt zu werden.

Hintergrundprüfungen mit geringer Priorität ausführen - Jede Prüfung nimmt eine bestimmte Menge vonSystemressourcen in Anspruch. Wenn Sie mit Anwendungen arbeiten, die die Systemressourcen starkbeanspruchen, können Sie eine Hintergrundprüfung mit geringer Priorität aktivieren, um Ressourcen für dieAnwendungen zu sparen.

Alle Objekte in Log aufnehmen - Wenn Sie diese Option aktivieren, werden alle geprüften Dateien in das Logeingetragen, auch Dateien, bei denen keine Infektion erkannt wurde.

Smart-Optimierung aktivieren - Wählen Sie diese Option, damit bereits geprüfte Dateien nicht erneut geprüftwerden (sofern sie nicht geändert wurden). Nach einem Update der Signaturdatenbank werden die Dateien sofortwieder geprüft.

Datum für „Geändert am“ beibehalten - Aktivieren Sie diese Option, um den Zeitpunkt des ursprünglichen Zugriffsauf geprüfte Dateien beizubehalten (z. B. für die Verwendung mit Datensicherungssystemen), anstatt ihn zuaktualisieren.

Bildlauf für Log - Mit dieser Option können Sie den Bildlauf für das Log aktivieren oder deaktivieren. Wenn derBildlauf aktiviert ist, werden die Informationen im Anzeigefenster nach oben verschoben.

Hinweis zum Abschluss der Prüfung in separatem Fenster anzeigen - Es wird ein separates Fenster mit denInformationen über die Prüfergebnisse angezeigt.


4.1.8 Eingedrungene Schadsoftware wurde erkannt

Schadsoftware kann auf vielen Wegen in das System gelangen. Mögliche Eintrittsstellen sind Websites,freigegebene Ordner, E-Mails oder Wechselmedien (USB-Sticks, externe Festplatten, CDs, DVDs, Disketten usw.).

Wenn Ihr Computer die Symptome einer Infektion mit Schadsoftware aufweist (Computer arbeitet langsamer alsgewöhnlich, hängt sich oft auf usw.), sollten Sie folgendermaßen vorgehen:

Öffnen Sie ESET Mail Security und klicken Sie auf „Computer prüfen“.Klicken Sie auf Smart-Prüfung (weitere Informationen siehe Abschnitt Smart-Prüfung ).Nachdem die Prüfung abgeschlossen ist, überprüfen Sie im Log die Anzahl der geprüften, infizierten undwiederhergestellten Dateien.

Wenn Sie nur einen Teil Ihrer Festplatte prüfen möchten, wählen Sie Prüfen mit speziellen Einstellungen undanschließend die Bereiche, die auf Viren geprüft werden sollen.

Das folgende allgemeine Beispiel soll veranschaulichen, wie in ESET Mail Security mit Schadsoftware umgegangenwird. Nehmen wir einmal an, der Echtzeit-Dateischutz verwendet die Standard-Säuberungsstufe und erkennteingedrungene Schadsoftware. Daraufhin wird der Versuch gestartet, den Schadcode aus der Datei zu entfernenoder die Datei zu löschen. Ist für den Echtzeitschutz keine vordefinierte Aktion angegeben, müssen Sie in einemWarnungsfenster zwischen verschiedenen Optionen wählen. In der Regel stehen die Optionen Säubern, Löschenund Übergehen zur Auswahl. Es wird nicht empfohlen, die Option Übergehen zu wählen, da sonst die infiziertenDateien nicht behandelt werden. Einzige Ausnahme: Sie sind sich sicher, dass die Datei harmlos ist undversehentlich erkannt wurde.

Schadcode entfernen und löschen - Wenden Sie „Schadcode entfernen“ an, wenn eine Datei von einem Virus mitSchadcode infiziert wurde. In einem solchen Fall sollten Sie zuerst versuchen, den Schadcode aus der infizierten

70

81

Datei zu entfernen und ihren Originalzustand wiederherzustellen. Wenn die Datei ausschließlich Schadcodeenthält, wird sie gelöscht.

Wenn eine infizierte Datei „gesperrt“ ist oder von einem Systemprozess verwendet wird, muss die Datei in der Regelerst freigegeben werden (häufig ist dazu ein Systemneustart erforderlich), bevor sie gelöscht werden kann.

Dateien in Archiven löschen - Im Standardmodus der Aktion „Säubern“ wird das gesamte Archiv nur gelöscht,wenn es ausschließlich infizierte Dateien enthält. Archive, die auch nicht infizierte Dateien enthalten, werden alsonicht gelöscht. Die Option „Immer versuchen, automatisch zu entfernen“ sollten Sie allerdings mit Bedachteinsetzen, da in diesem Modus alle Archive gelöscht werden, die mindestens eine infizierte Datei enthalten, unddies unabhängig vom Status der übrigen Archivdateien.

4.2 Aktualisieren des Programms

Für maximalen Schutz ist die regelmäßige Aktualisierung von ESET Mail Security die Grundvoraussetzung. DieUpdates halten das Programm fortlaufend auf dem neuesten Stand. Dies erfolgt durch Aktualisierung derSignaturdatenbank sowie die Aktualisierung der Programmkomponenten.

Über den Punkt Update im Hauptmenü können Sie sich den aktuellen Update-Status anzeigen lassen. Sie sehenhier Datum und Uhrzeit des letzten Updates und können feststellen, ob ein Update erforderlich ist. DieVersionsnummer der Signaturdatenbank wird ebenfalls in diesem Fenster angezeigt. Diese Nummer ist ein aktiverLink zur Website von ESET, auf der alle Signaturen aufgeführt werden, die bei dem entsprechenden Updatehinzugefügt wurden.

Außerdem finden Sie in diesem Fenster die Option Update der Signaturdatenbank, mit der der Update-Vorgangmanuell gestartet werden kann, und grundlegende Update-Einstellungen wie die Lizenzdaten (Benutzername undPasswort), die den Zugriff auf die Update-Server von ESET erlauben.

Klicken Sie auf Produktaktivierung, um ein Registrierungsformular zu öffnen, mit dem Sie Ihr ESET Security-Produkt aktivieren können. Sie erhalten eine E-Mail mit den Lizenzdaten (Benutzername und Passwort).

82

HINWEIS: Ihren Benutzernamen und das Passwort erhalten Sie von ESET nach dem Kauf von ESET Mail Security.

83

4.2.1 Einstellungen für Updates

In den Einstellungen für Updates finden Sie Informationen zum Abruf von Updates, z. B. die Liste der Update-Serverund die Lizenzdaten für diese Server. Standardmäßig ist das Dropdown-Menü Update-Server auf Automatischauswählen eingestellt. So werden Updates automatisch von dem ESET-Server heruntergeladen, der am wenigstenbelastet ist. Die Einstellungen für Updates finden Sie unter Update in den erweiterten Einstellungen (Taste F5).

Die Liste Update-Server zeigt eine Aufstellung der verfügbaren Update-Server. Um einen neuen Update-Serverhinzuzufügen, klicken Sie im Bereich Update-Einstellungen für ausgewähltes Profil auf Bearbeiten. Klicken Sieanschließend auf Hinzufügen. Zur Anmeldung beim Update-Server verwenden Sie den Benutzernamen und dasPasswort, die beim Kauf erzeugt und Ihnen zugestellt wurden.

84

4.2.1.1 Update-Profile

Update-Profile können für verschiedene Update-Konfigurationen und -Tasks erstellt werden. Besonders sinnvoll istdas Erstellen von Update-Profilen für mobile Benutzer, die auf regelmäßige Änderungen bei der Internetverbindungmit entsprechenden Profilen reagieren können.

Die Liste Ausgewähltes Profil zeigt das aktuelle Profil an; standardmäßig ist dies Eigenes Profil. Zum Erstelleneines neuen Profils klicken Sie auf Profile und dann auf Hinzufügen. Geben Sie anschließend den Namen desProfils ein. Wenn Sie ein neues Profil erstellen, können Sie die Einstellungen eines bereits bestehenden Profilskopieren, indem Sie die Option Einstellungen kopieren von Profil aus der Liste wählen.

Im Fenster mit den Profileinstellungen können Sie den Update-Server in einer Liste verfügbarer Server angeben odereinen neuen Server hinzufügen. Das Dropdown-Menü Update-Server: zeigt die vorhandenen Update-Server. Umeinen neuen Update-Server hinzuzufügen, klicken Sie im Bereich Update-Einstellungen für ausgewähltes Profilauf Bearbeiten. Klicken Sie anschließend auf Hinzufügen.

4.2.1.2 Erweiterte Einstellungen für Updates

Klicken Sie zum Anzeigen der erweiterten Einstellungen auf Einstellungen. Zu den erweiterten Einstellungen fürUpdates zählen Konfigurationsoptionen für Update-Modus, HTTP-Proxy, LAN und Update-Mirror.

85

4.2.1.2.1 Update-Modus

Auf der Registerkarte Update-Modus finden Sie Optionen zum Aktualisieren der Programmkomponenten.

Im Abschnitt Updates für Programmkomponenten stehen drei Optionen zur Verfügung:

Niemals ausführen: Neue Updates für Programmkomponenten werden nicht heruntergeladen.

Immer ausführen: Neue Updates für Programmkomponenten werden automatisch heruntergeladen.

Vor dem Herunterladen Benutzer fragen: Dies ist die Standardeinstellung. Stehen Updates fürProgrammkomponenten zur Verfügung, werden Sie aufgefordert, sie zu bestätigen oder abzulehnen.

Nach der Installation eines Updates für Programmkomponenten kann ein Neustart Ihres Computers erforderlichwerden, um die Funktionalität aller Module zu gewährleisten. Im Bereich Computerneustart, falls nach Upgradeerforderlich können Sie eine der folgenden Optionen wählen:

Kein Neustart

Zur Bestätigung des Neustarts auffordern

Computer ohne Nachfrage automatisch neu starten

Die Standardeinstellung ist: Zur Bestätigung des Neustarts auffordern. Die Auswahl der geeigneten Optionhängt vom jeweiligen Computer ab, auf dem die Einstellungen ausgeführt werden. Beachten Sie dieunterschiedliche Funktion von Arbeitsplatzcomputern und Servern - das automatische Neustarten eines Serversnach einem Update kann schwerwiegende Folgen haben.

86

4.2.1.2.2 Proxyserver

ESET Mail Security bietet Optionen für die Proxyserver-Einstellungen in zwei verschiedenen Bereichen dererweiterten Einstellungen.

Die Einstellungen für den Proxyserver können zum einen unter Allgemein > Proxyserver konfiguriert werden.Hiermit legen Sie die allgemeinen Proxyserver-Einstellungen für alle Funktionen von ESET Mail Security fest. DieseParameter werden von allen Modulen verwendet, die eine Verbindung zum Internet benötigen.

Um die Proxyserver-Einstellungen für diese Ebene festzulegen, aktivieren Sie das Kontrollkästchen Proxyserververwenden und geben im Feld Proxyserver die entsprechende Adresse zusammen mit dem Port des Proxyserversein.

Wenn der Proxyserver eine Authentifizierung benötigt, aktivieren Sie das Kontrollkästchen Proxyserver erfordertAuthentifizierung und geben in die entsprechenden Felder einen gültigen Benutzernamen und das Passwort ein.Klicken Sie auf die Schaltfläche Proxyserver automatisch erkennen, wenn die Einstellungen des Proxyserversautomatisch erkannt und eingetragen werden sollen. Die in Internet Explorer festgelegten Einstellungen werdenkopiert.

HINWEIS: Diese Funktion ruft keine Anmeldedaten (Benutzername und Passwort) ab; Sie müssen dieseInformationen eingeben.

Die Proxyserver-Einstellungen können auch in den erweiterten Einstellungen für Updates festgelegt werden. DieEinstellungen gelten dann für das entsprechende Update-Profil. Zu dessen Optionen für Proxyserver-Einstellungengelangen Sie über die Registerkarte HTTP-Proxy unter Erweiterte Einstellungen für Updates. Dort können Sieeine von drei verschiedenen Optionen wählen:

In Systemsteuerung eingestellten Proxy verwenden

Keinen Proxyserver verwenden

Verbindung über Proxyserver (Verbindung wird durch Verbindungseigenschaften definiert)

Mit dem Aktivieren der Option In Systemsteuerung eingestellten Proxy verwenden wird die unter „ErweiterteEinstellungen“ (Allgemein > Proxyserver) bereits festgelegte Proxyserver-Konfiguration übernommen (sieheweiter oben in diesem Artikel).

87

Mit der Option Keinen Proxyserver verwenden legen Sie fest, dass kein Proxyserver für Updates von ESET MailSecurity genutzt wird.

Aktivieren Sie die Option Verbindung über Proxyserver, wenn Sie Updates von ESET Mail Security über einenanderen als den in den allgemeinen Einstellungen (Allgemein > Proxyserver) festgelegten Proxyserverherunterladen möchten. In diesem Fall sind an dieser Stelle Einstellungen erforderlich: Proxyserver-Adresse, Portsowie Benutzername und Passwort, falls erforderlich.

Diese Option sollte auch verwendet werden, wenn in den allgemeinen Einstellungen kein Proxyserver festgelegtwurde, aber das Update-Modul von ESET Mail Security die Verbindung über einen Proxyserver aufbaut.

Die Standardeinstellung für den Proxyserver ist: In Systemsteuerung eingestellten Proxy verwenden.

88

4.2.1.2.3 Herstellen einer LAN-Verbindung

Beim Aktualisieren von einem lokalen Server mit einem Betriebssystem auf Windows NT-Basis ist standardmäßigeine Authentifizierung für jede Netzwerkverbindung erforderlich. In den meisten Fällen besitzt ein lokalesSystemkonto keine ausreichenden Berechtigungen für den Zugriff auf den Mirror-Ordner (der Kopien der Update-Dateien enthält). Geben Sie in diesem Fall den Benutzernamen und das Passwort in den Update-Einstellungen ein,oder geben Sie ein Konto an, über das das Programm auf den Update-Mirror zugreifen kann.

Zum Konfigurieren eines solchen Kontos klicken Sie auf die Registerkarte LAN. Der Bereich Verbindung mit demLAN herstellen enthält die Optionen Systemkonto (Standard), Aktueller Benutzer und Folgender Benutzer.

Wählen Sie Systemkonto (Standard), um das Systemkonto für die Authentifizierung zu verwenden.Normalerweise findet keine Authentifizierung statt, wenn in den Haupteinstellungen für Updates keineAnmeldedaten angegeben sind.

Wenn sich das Programm mit dem Konto des aktuell angemeldeten Benutzers anmelden soll, wählen Sie AktuellerBenutzer. Nachteil dieser Lösung ist, dass das Programm keine Verbindung zum Update-Server herstellen kann,wenn kein Benutzer angemeldet ist.

Wählen Sie Folgender Benutzer, wenn das Programm ein spezielles Benutzerkonto für die Authentifizierungverwenden soll.

Warnung: Wenn eine der Optionen Aktueller Benutzer oder Folgender Benutzer aktiviert ist, kann ein Fehler beimWechsel der Identität zum gewünschten Benutzer auftreten. Aus diesem Grund wird empfohlen, die LAN-Anmeldedaten in den Haupteinstellungen für Updates einzugeben. In diesen Update-Einstellungen geben Sie dieAnmeldedaten wie folgt ein: Domänenname\Benutzer (bei einer Arbeitsgruppe geben SieArbeitsgruppenname\Name ein) und das Passwort. Bei Aktualisierung von der HTTP-Version des lokalen Servers istkeine Authentifizierung erforderlich.

89

4.2.1.2.4 Erstellen von Kopien der Update-Dateien – Update-Mirror

ESET Mail Security bietet Ihnen die Möglichkeit, Kopien der Update-Dateien zu erstellen. Diese können Sie dann zurAktualisierung anderer Arbeitsplatzrechner im Netzwerk verwenden. Das Aktualisieren der Client-Computer voneinem Update-Mirror optimiert die Lastenverteilung im Netzwerk und entlastet Internetverbindungen.

Die Konfigurationsoptionen für einen Update-Mirror auf einem lokalen Server befinden sich im Bereich ErweiterteEinstellungen für Updates (um diesen zu erreichen, müssen Sie einen gültigen Lizenzschlüssel im Lizenzmanagerhinzufügen; dieser ist in den erweiterten Einstellungen von ESET Mail Security zu finden). Drücken Sie F5, um aufdie erweiterten Einstellungen zuzugreifen, und klicken Sie auf Update. Dort klicken Sie auf die SchaltflächeEinstellungen neben Erweiterte Einstellungen für Updates und wählen die Registerkarte Update-Mirror.

Zur Konfiguration des Update-Mirrors aktivieren Sie als Erstes die Option „Update-Mirror aktivieren“. DurchAktivieren dieser Option stehen weitere Konfigurationsoptionen für Update-Mirrors zur Verfügung, diebeispielsweise die Art des Zugriffs auf Update-Dateien und den Pfad zu den Kopien der Update-Dateien betreffen.

Die Vorgehensweisen zur Aktivierung des Update-Mirror werden im Abschnitt Aktualisieren über Update-Mirrorausführlich beschrieben. In diesem Abschnitt reicht es zu wissen, dass es zwei Grundvarianten des Zugriffs aufeinen Update-Mirror gibt: Der Ordner mit den Update-Dateien kann eine Netzwerkfreigabe sein, oder es wird einHTTP-Server als Update-Mirror verwendet.

Der für die Update-Dateien vorgesehene Ordner wird im Bereich Ordner zum Speichern der Update-Dateienfestgelegt. Klicken Sie auf Ordner, um den gewünschten Ordner auf dem lokalen Computer oder eineNetzwerkfreigabe auszuwählen. Wenn für den angegebenen Ordner eine Authentifizierung erforderlich ist, müssendie Anmeldedaten in die Felder Benutzername und Passwort eingetragen werden. Der Benutzername muss imFormat Domäne/Benutzer oder Arbeitsgruppe/Benutzer eingegeben werden. Denken Sie daran, auch dieentsprechenden Passwörter einzugeben.

Bei der Konfiguration des Update-Mirrors kann auch die Sprachversion der herunterzuladenden Update-Kopienfestgelegt werden. Zum Auswählen der Sprache wählen Sie Dateien - Verfügbare Versionen.

HINWEIS: Die Spam-Schutz-Datenbank kann nicht über den Update-Mirror aktualisiert werden. Hier finden Sieweitere Informationen zu Updates der Spam-Schutz-Datenbank.

90

36

90

4.2.1.2.4.1 Aktualisieren über Update-Mirror

Es gibt zwei Grundvarianten der Konfiguration eines Update-Mirrors: Der Ordner mit den Update-Dateien kanneine Netzwerkfreigabe sein, oder es wird ein HTTP-Server als Update-Mirror verwendet.

Zugriff auf den Update-Mirror über internen HTTP-Server

Diese Variante wird automatisch verwendet, da es sich um die Standardeinstellung des Programms handelt. UmZugriff auf den Update-Mirror über den HTTP-Server zu ermöglichen, wechseln Sie zu Erweiterte Einstellungen fürUpdates (Registerkarte Update-Mirror) und wählen Sie Update-Mirror aktivieren.

Im Bereich Erweiterte Einstellungen der Registerkarte Update-Mirror können Sie den Server-Port angeben, aufdem der HTTP-Server Anfragen empfängt, und den Typ der Authentifizierung festlegen, die vom HTTP-Serververwendet wird. Standardmäßig ist der Port 2221 eingestellt. Unter Authentifizierung wird dieAuthentifizierungsmethode für den Zugriff auf die Update-Dateien festgelegt. Die folgenden Optionen stehen zurVerfügung: KEINE, Basis und NTLM. Wählen Sie Basis für Base64-Verschlüsselung und einfache Authentifizierungmit Benutzername und Passwort. Bei Auswahl von NTLM wird eine sichere Verschlüsselungsmethode verwendet.Zur Authentifizierung wird der auf dem Computer erstellte Benutzer verwendet, der die Update-Dateienfreigegeben hat. Die Standardeinstellung ist KEINE, so dass für den Zugriff auf die Update-Dateien keineAuthentifizierung erforderlich ist.

Warnung: Wenn Sie den Zugriff auf die Update-Dateien über einen HTTP-Server zulassen möchten, muss sich derOrdner mit den Kopien der Update-Dateien auf demselben Computer befinden wie die Instanz von ESET MailSecurity, mit der dieser Ordner erstellt wird.

Nach Abschluss der Konfiguration des Update-Mirrors geben Sie auf den einzelnen Computern jeweils http://IP-Adresse_Ihres_Servers:2221 als Update-Server ein. Gehen Sie dazu wie folgt vor:

Öffnen Sie die Erweiterten Einstellungen von ESET Mail Security und klicken Sie auf Update.

Klicken Sie rechts neben der Dropdown-Liste Update-Server auf Bearbeiten und fügen Sie einen neuen Server infolgendem Format hinzu: http://IP-Adresse_Ihres_Servers:2221.

Wählen Sie den hinzugefügten Server aus der Liste der Update-Server aus.

Zugriff auf den Update-Mirror über Systemfreigaben

Zunächst muss ein freigegebener Ordner auf einem lokalen Laufwerk oder Netzlaufwerk erstellt werden. BeimErstellen des Ordners für den Update-Mirror ist Folgendes zu beachten: Der Benutzer, der Dateien im Ordnerspeichert, benötigt Schreibzugriff, während die Benutzer, die ESET Mail Security über diesen Ordner aktualisieren,eine Leseberechtigung benötigen.

Konfigurieren Sie als Nächstes den Zugriff auf den Update-Mirror im Bereich Erweiterte Einstellungen für Updates(Registerkarte Update-Mirror), indem Sie die Option Dateien über integrierten HTTP-Server bereitstellendeaktivieren. Diese Option ist in der Standardeinstellung des Programms aktiviert.

Wenn der freigegebene Ordner sich auf einem anderen Computer im Netzwerk befindet, ist für den Zugriff auf den

http://IP-Adresse_Ihres_Servers:2221

91

anderen Computer eine Authentifizierung erforderlich. Um die Anmeldedaten anzugeben, öffnen Sie (mit F5) dieerweiterten Einstellungen von ESET Mail Security und klicken Sie auf den Bereich Update. Klicken Sie erst auf dieSchaltfläche Einstellungen und öffnen Sie dann die Registerkarte LAN. Diese Einstellung entspricht der Einstellungfür Updates, wie im Kapitel Herstellen einer LAN-Verbindung beschrieben.

Nach Abschluss der Konfiguration des Update-Mirrors geben Sie auf den einzelnen Computern jeweils \\UNC\PFADals Update-Server ein. Mit den folgenden Schritten schließen Sie diesen Vorgang ab:

Öffnen Sie die erweiterten Einstellungen von ESET Mail Security und klicken Sie auf Update

Klicken Sie auf Bearbeiten neben dem Update-Server und geben Sie einen neuen Server in folgendem Format ein:\\UNC\PFAD

Wählen Sie den hinzugefügten Server aus der Liste der Update-Server aus.

HINWEIS: Um eine fehlerfreie Funktion zu gewährleisten, muss der Pfad zum Ordner mit den Kopien der Update-Dateien als UNC-Pfad angegeben werden. Updates über zugeordnete Netzlaufwerke können möglicherweise nichtausgeführt werden.

4.2.1.2.4.2 Fehlerbehebung bei Problemen mit Updates über Update-Mirror

Die meisten Probleme bei Updates von einem Update-Mirror haben eine oder mehrere der folgenden Ursachen:falsche Einstellungen für den Mirror-Ordner, falsche Anmeldedaten für den Mirror-Ordner, falsche Konfigurationauf lokalen Computern, die versuchen, Update-Dateien vom Update-Mirror herunterzuladen, oder eineKombination der angegebenen Gründe. Hier erhalten Sie einen Überblick über die am häufigsten auftretendenProbleme bei Updates von einem Update-Mirror:

ESET Mail Security meldet einen Fehler bei der Verbindung mit dem Mirror-Server - Wahrscheinlich wird dieserFehler durch falsche Angaben zum Update-Server (Netzwerkpfad zum Mirror-Ordner) verursacht, von dem dielokalen Computer Updates herunterladen. Um den Ordner zu überprüfen, klicken Sie auf das Windows-Menü Start> Ausführen, geben den Ordnernamen ein und klicken auf OK. Daraufhin sollte der Inhalt des Ordners angezeigtwerden.

ESET Mail Security verlangt einen Benutzernamen und Passwort - Es wurden wahrscheinlich falscheAnmeldedaten (Benutzername und Passwort) im Bereich „Update“ angegeben. Benutzername und Passwortwerden für den Zugriff auf den Update-Server verwendet, über den das Programm aktualisiert wird. VergewissernSie sich, dass die Anmeldedaten korrekt und im richtigen Format eingegeben sind. Verwenden Sie das Format Domäne/Benutzername bzw. Arbeitsgruppe/Benutzername und die entsprechenden Passwörter. Auch wenn der Zugriffauf den Mirror-Server für die Gruppe „Jeder“ gestattet wurde, sollten Sie bedenken, dass deshalb nicht jedembeliebigen Benutzer der Zugriff gewährt wird. „Jeder“ umfasst keine nicht autorisierten Benutzer, sondern bedeutet,dass alle Benutzer der Domäne auf den Ordner zugreifen können. Daher müssen, auch wenn die Gruppe „Jeder“ aufden Ordner zugreifen kann, in den Update-Einstellungen ein Domänen-Benutzername und -Passwort eingegebenwerden.

ESET Mail Security meldet einen Fehler bei der Verbindung mit dem Mirror-Server - Der für den Zugriff auf dieHTTP-Version des Update-Mirrors angegebene Port ist blockiert.

4.2.2 So erstellen Sie Update-Tasks

Mit der Option Signaturdatenbank aktualisieren können Updates manuell ausgeführt werden. Klicken Sie dazuim Hauptmenü auf „Update“ und wählen Sie im daraufhin angezeigten Dialogfenster die entsprechende Option aus.

Darüber hinaus können Sie Updates auch als geplante Tasks einrichten. Um einen Task zu konfigurieren, klicken Sieauf Tools > Taskplaner. Standardmäßig sind in ESET Mail Security folgende Tasks aktiviert:

Automatische Updates in festen Zeitabständen

Automatische Updates beim Herstellen von DFÜ-Verbindungen

Automatische Updates beim Anmelden des Benutzers

Jeder Update-Task kann bei Bedarf angepasst werden. Neben den standardmäßig ausgeführten Update-Taskskönnen zusätzliche Update-Tasks mit benutzerdefinierten Einstellungen erstellt werden. Weitere Informationenzum Erstellen und Konfigurieren von Update-Tasks finden Sie im Abschnitt Taskplaner .

88

92

92

4.3 Taskplaner

Der Taskplaner steht zur Verfügung, wenn Sie die Einstellungen von ESET Mail Security im erweiterten Modusanzeigen. Um ihn zu öffnen, klicken Sie im Hauptmenü von ESET Mail Security unter Tools auf Taskplaner. DerTaskplaner umfasst eine Liste aller geplanten Tasks sowie deren Konfigurationseigenschaften, inklusive desvordefinierten Datums, der Uhrzeit und des verwendeten Prüfprofils.

Standardmäßig werden im Taskplaner die folgenden Tasks angezeigt:

Automatische Updates in festen ZeitabständenAutomatische Updates beim Herstellen von DFÜ-VerbindungenAutomatische Updates beim Anmelden des BenutzersPrüfung Systemstartdateien (nach Anmeldung des Benutzers)Prüfung Systemstartdateien (nach Update der Signaturdatenbank)

Um die Konfiguration eines vorhandenen Standardtasks oder eines benutzerdefinierten Tasks zu ändern, klicken Siemit der rechten Maustaste auf den Task und dann auf Bearbeiten, oder wählen Sie den Task aus, den Sie ändernmöchten, und klicken Sie auf Bearbeiten.

4.3.1 Verwendung von Tasks

Der Taskplaner verwaltet und startet Tasks mit vordefinierter Konfiguration und voreingestellten Eigenschaften.Konfiguration und Eigenschaften enthalten Informationen wie Datum und Uhrzeit und bestimmte Profile, die beiAusführung des Tasks verwendet werden.

93

4.3.2 Erstellen von Tasks

Zum Erstellen eines Tasks im Taskplaner klicken Sie auf Hinzufügen oder klicken mit der rechten Maustaste undwählen dann im Kontextmenü die Option Hinzufügen. Es gibt fünf Arten von Tasks:

Start externer AnwendungPrüfung SystemstartdateienSnapshot des Computerstatus erstellenOn-Demand-PrüfungUpdate

Da Update-Tasks zu den meistverwendeten Tasks gehören, wird im Folgenden das Hinzufügen eines neuenUpdate-Tasks beschrieben.

Wählen Sie Update aus der Liste der Tasks. Klicken Sie auf Weiter und geben Sie den Namen des Tasks in das FeldTaskname ein. Wählen Sie das gewünschte Ausführungsintervall. Die folgenden Optionen stehen zur Verfügung:Einmalig, Wiederholt, Täglich, Wöchentlich und Bei Ereignis. Je nach ausgewähltem Intervall werden Ihnenverschiedene Update-Parameter angezeigt. Im nächsten Schritt können Sie eine Aktion festlegen für den Fall, dassder Task zur geplanten Zeit nicht ausgeführt oder abgeschlossen werden kann. Folgende Optionen stehen zurVerfügung:

Nächste Ausführung genau nach PlanungAusführung zum nächstmöglichen ZeitpunktSofort ausführen, wenn Intervall seit letzter Ausführung überschritten (das Intervall kann über dasentsprechende Feld festgelegt werden)

Anschließend wird ein Fenster mit der Zusammenfassung des aktuellen Tasks angezeigt. Die Option Task mitspeziellen Einstellungen ausführen sollte automatisch aktiviert sein. Klicken Sie auf Fertig stellen.

Es wird ein Dialogfenster angezeigt, in dem Sie Profile für den Task auswählen können. Hier können Sie ein primäresund ein alternatives Profil festlegen. Letzteres wird verwendet, falls der Task unter Verwendung des primärenProfils nicht abgeschlossen werden kann. Bestätigen Sie Ihre Angaben, indem Sie im Fenster Update-Profile auf OKklicken. Der neue geplante Task wird der Liste der aktuellen Tasks hinzugefügt.

94

4.4 Quarantäne

Die Hauptaufgabe der Quarantäne ist die sichere Speicherung infizierter Dateien. Dateien sollten in die Quarantäneverschoben werden, wenn sie nicht gesäubert werden können, wenn es nicht sicher oder ratsam ist, sie zu löschen,oder wenn sie von ESET Mail Security fälschlicherweise erkannt worden sind.

Sie können beliebige Dateien gezielt in die Quarantäne verschieben. Geschehen sollte dies bei Dateien, die sichverdächtig verhalten, bei der Virenprüfung jedoch nicht erkannt werden. Dateien aus der Quarantäne können zurAnalyse an ESET eingereicht werden.

Die Dateien im Quarantäneordner können in einer Tabelle angezeigt werden, die Datum und Uhrzeit derQuarantäne, den Pfad zum ursprünglichen Speicherort der infizierten Datei, ihre Größe in Byte, einen Grund (Hinzugefügt durch Benutzer...) und die Anzahl der Bedrohungen (z. B. bei Archiven, in denen an mehreren StellenInfiltrationen erkannt wurde) enthält.

4.4.1 Quarantäne für Dateien

ESET Mail Security kopiert gelöschte Dateien automatisch in den Quarantäneordner (sofern diese Option nicht imWarnfenster deaktiviert wurde). Auf Wunsch können Sie beliebige verdächtige Dateien manuell in die Quarantäneverschieben, indem Sie auf Quarantäne klicken. In diesem Fall wird die Originaldatei nicht von ihremursprünglichen Speicherort entfernt. Alternativ kann auch das Kontextmenü zu diesem Zweck verwendet werden:Klicken Sie mit der rechten Maustaste in das Fenster Quarantäne, und wählen Sie Hinzufügen.

95

4.4.2 Wiederherstellen aus Quarantäne

Dateien aus der Quarantäne können an ihrem ursprünglichen Speicherort wiederhergestellt werden. VerwendenSie dazu die Funktion Wiederherstellen, die Sie nach einem Rechtsklick auf die entsprechende Datei im Fenster„Quarantäne“ im Kontextmenü auswählen können. Das Kontextmenü enthält außerdem die Option Wiederherstellen nach, mit der Dateien an einem anderen als ihrem ursprünglichen Speicherort wiederhergestelltwerden können.

HINWEIS: Wenn versehentlich eine harmlose Datei in Quarantäne versetzt wurde, schließen Sie die Datei nach derWiederherstellung von der Prüfung aus und senden Sie sie an den ESET-Support.

4.4.3 Einreichen von Dateien aus der Quarantäne

Wenn Sie eine verdächtige, nicht vom Programm erkannte Datei in Quarantäne versetzt haben oder wenn eineDatei fälschlich als infiziert eingestuft wurde (etwa durch die heuristische Analyse des Codes) und infolgedessen inden Quarantäneordner verschoben wurde, senden Sie die Datei zur Analyse an ESET. Um eine Datei zu senden, diein der Quarantäne gespeichert ist, klicken Sie mit der rechten Maustaste darauf und wählen im angezeigtenKontextmenü die Option Datei zur Analyse einreichen.

96

4.5 Log-Dateien

In den Logs werden Informationen über wichtige Ereignisse gespeichert: erkannte eingedrungene Schadsoftware,Logs der On-Demand-Prüfung und der Hintergrundwächter sowie Systeminformationen.

Die Logs für den Spam-Schutz und das Greylisting (bei „andere Logs“ unter Tools > Log-Dateien) enthalten genaueInformationen über geprüfte Nachrichten und Aktionen, die auf diese Nachrichten angewendet wurden. Logskönnen sehr hilfreich sein, wenn man herausfinden will, wieso E-Mails nicht beim Empfänger angekommen sind,Nachrichten als Spam eingestuft wurden usw.

97

Spam-Schutz

Verzeichnis aller Nachrichten, die von ESET Mail Security als Spam oder wahrscheinlich Spam eingestuft werden.

Beschreibung der Spalten:

Zeit – Zeitpunkt der Eintragserstellung im Spam-Schutz-Log

Absender – Adresse des Absenders

Empfänger – Adresse des Empfängers

Betreff – Betreff der Nachricht

Score – Spam-Score der Nachricht (von 0 bis 100)

Grund – gibt an, weshalb die Nachricht als Spam eingestuft wurde. Der angezeigte Grund hat den größten Einfluss.Mit einem Doppelklick auf den Eintrag können Sie sich weitere Gründe anzeigen lassen. Es wird ein Fenster (Grund)angezeigt, in welchem die anderen Gründe in absteigender Reihenfolge nach Einfluss sortiert sind.

Spam-Verdacht der URL URLs in Nachrichten sind oft ein Hinweis auf Spam.

HTML-Formatierung (Schrift, Farbenusw.)

Die Formatierung der HTML-Elemente einer Nachricht istcharakteristisch für Spam-Mails (Schriftart, -größe und -farbe usw.).

Spam-Tricks: Verschleierung Der für Spam-Mails typische Wortlaut wird mithilfe weiterer Zeichenverzerrt. Ein typisches Beispiel ist das Wort „Viagra“, das häufig „V1agra“geschrieben wird, um dem Spam-Schutz zu entgehen.

HTML-Spam mit Grafik Auch mit Spam-Mails in der Form von Bildern wird oft versucht, Spam-Schutz-Techniken zu umgehen. Diese Bilder enthalten oft Links zuWebsites.

URL-Format: Domain von Hosting-Dienstleister

Die URL enthält die Domain eines Hosting-Dienstleisters.

Charakteristische Spam-Begriffe... Die Nachricht enthält für Spam-Mails typische Wörter.

E-Mail-Header nicht konsistent Die Informationen im Header wurden verändert, um einen anderen alsden ursprünglichen Absender zu suggerieren.

Virus Die Nachricht enthält eine verdächtige Anlage.

98

Phishing Die Nachricht enthält für Phishing-Mails typischen Text.

Kopien Die Nachricht enthält Text, der typisch ist für Spam-Mails, in denenNachbildungen von Gegenständen angeboten werden.

Generischer Spam-Indikator Die Nachricht enthält Wörter/Zeichen, die typisch sind für Spam-Mails,z. B. „Lieber Freund“, „Sie haben gewonnen“, „!!!“.

Ham-Indikator/kein Spam Die Funktion dieses Merkmals steht im Gegensatz zu der der anderenMerkmale. Es wird nach Anzeichen für rechtmäßige E-Mails gesucht.Werden sie gefunden, verringert sich der Spam-Score.

Unspezifischer Spam-Indikator Die Nachricht enthält andere Spam-Elemente, z. B. Base64-Kodierung.

Benutzerdefinierte Spam-Erkennungsbegriffe

Andere typische Spam-Formulierungen.

URL steht auf Negativliste Die URL in der Nachricht ist in einer Negativliste verzeichnet.

IP %s steht auf RBL Die IP-Adresse ... ist in einer Real-Time Blackhole List (RBL) verzeichnet.

URL %s steht auf DNSBL Die IP-Adresse ... ist in einer DNS-basierten Blackhole List (DNSBL)verzeichnet.

URL %s steht auf RBL, oder der Serverist nicht zum E-Mail-Versandberechtigt

Die URL ... ist in einer Real-Time Blackhole List (RBL) verzeichnet bzw.der Server hat nicht die für den E-Mail-Versand erforderlichen Rechte. DieAdressen, über die eine E-Mail auf ihrem Weg zum Empfänger geleitetwurden, werden einer RBL-Prüfung unterzogen. Für die letzte dieserAdressen wird geprüft, ob sie Verbindungen zu öffentlichen E-Mail-Servern aufbauen darf. Werden keine gültigenVerbindungsberechtigungen festgestellt, ist die Adresse in der LBL-Listeeingetragen. Als Spam eingestufte Nachrichten erhalten deswegen denfolgenden Text im Feld Grund: „Server ist nicht zum E-Mail-Versandberechtigt“.

Aktion – Aktion, die auf die Nachricht angewendet wurde. Mögliche Aktionen:

Behalten Auf diese Nachricht wurde keine Aktion angewendet.

In Quarantäne verschoben Die Nachricht wurde in die Quarantäne verschoben.

Gesäubert und in Quarantäneverschoben

Der Virus wurde aus der Nachricht entfernt und diese in die Quarantäneverschoben.

Abgewiesen Die Nachricht wurde abgewiesen und dem Absender ein SMTP-Reject alsAntwort geschickt.

Gelöscht Die Nachricht wurde gelöscht, indem sie ohne Benachrichtigung verworfenwurde („Silent Drop“).

Empfangen – Zeitpunkt des Eingangs der Nachricht am Server.

HINWEIS: Werden E-Mails über einen E-Mail-Server empfangen, sind die Einträge in Zeit und Empfangen praktischidentisch.

19

19

99

Greylisting

In diesem Log sind alle Nachrichten verzeichnet, die mit der Greylisting-Methode geprüft wurden.

Beschreibung der Spalten:

Zeit – Zeitpunkt der Eintragserstellung im Spam-Schutz-Log

HELO-Domain – Domain-Name des sendenden Servers, anhand dessen er vom empfangenden Server erkannt wird

IP-Adresse – Die IP-Adresse des Absenders

Absender – Adresse des Absenders

Empfänger – Adresse des Empfängers

Aktion – Kann folgende Statusmeldungen enthalten:

Abgewiesen Die eingehende Nachricht wurde abgewiesen, nachdem eine einfache Greylisting-Prüfung erfolgte (erster Zustellversuch)

Abgewiesen (noch nichtverifiziert)

Die eingehende Nachricht wurde vom sendenden Server erneut gesendet, doch dieZeitbegrenzung für das Abweisen der Verbindung wurde unterschritten (Zeitlimitfür Abweisen des ersten Zustellversuchs).

Verifiziert Der sendende Server hat mehrmalige erneute Zustellversuche unternommen, das Zeitlimit für Abweisen des ersten Zustellversuchs ist verstrichen und dieNachricht wurde erfolgreich verifiziert und zugestellt. Siehe auch Kapitel Transport-Agent .

Verbleibende Zeit – Die Restzeit für die Erfüllung des Zeitlimits für Abweisen des ersten Zustellversuchs

Erkannte Bedrohungen

Das Bedrohungs-Log enthält detaillierte Informationen über eingedrungene Schadsoftware, die von den ESET MailSecurity-Modulen entdeckt wurde. Zu den Informationen gehören die Zeit der Erkennung, der Name der Prüfung,der Objekttyp und -name, der Name der eingedrungenen Schadsoftware, der Speicherort, die ausgeführtenAktionen und der Name des Benutzers, der zur Zeit der Entdeckung der eingedrungenen Schadsoftwareangemeldet war. Zum Kopieren oder Löschen einer oder mehrerer Zeilen aus dem Log (oder zum Löschen desgesamten Logs) können Sie das Kontextmenü verwenden (Rechtsklick auf das gewünschte Element).

37

100

Ereignisse

Das Ereignis-Log enthält Informationen über Ereignisse und im Programm aufgetretene Fehler. Die hieraufgeführten Informationen sind oftmals hilfreich, um ein im Programm aufgetretenes Problem zu beheben.

On-Demand-Prüfung

Im Prüf-Log werden die Ergebnisse von manuellen oder geplanten Prüfungen aufgezeichnet. Jede Zeile entsprichtder Überprüfung eines einzelnen Computers. Folgende Informationen werden aufgeführt: Datum und Uhrzeit derPrüfung, Gesamtzahl der überprüften, infizierten und gesäuberten Dateien und der aktuelle Prüfstatus.

Doppelklicken Sie unter Logs der manuellen Prüfung auf ein Log, um den Inhalt in einem eigenen Fensteranzuzeigen. Verwenden Sie das Kontextmenü (indem Sie mit der rechten Maustaste darauf klicken) zum Kopieren eines odermehrerer markierter Einträge (dies gilt für alle Arten von Logs).

4.5.1 Log-Filter

Mit dem Log-Filter können Sie Log-Dateien durchsuchen; dies ist besonders praktisch, wenn die Anzahl der Einträgeunüberschaubar groß und damit die Suche nach bestimmten Informationen schwierig ist.

Wenn Sie die Log-Filter-Funktion verwenden, können Sie die Suche eingrenzen, indem Sie im Textfeld Nach dasGesuchte eintragen, die Suchstellen unter Zu durchsuchende Spalten festlegen sowie Eintragstypen und einenZeitraum für die gesuchten Einträge angeben. Die Angabe von bestimmten Suchkriterien hat zur Folge, dass nurEinträge, die diesen Kriterien entsprechen, im Hauptfenster Log-Dateien angezeigt werden, von wo der Benutzerschnell und unkompliziert auf sie zugreifen kann.

Um den Log-Filter zu öffnen, klicken Sie auf die Schaltfläche Filter in Tools > Log-Dateien oder verwenden Sie dieTastenkombination Strg + Umschalttaste + F.

HINWEIS: Für die Suche nach einem bestimmten Eintrag können Sie ebenfalls die Funktion In Log suchennutzen; ebenso lässt diese sich auch mit dem Log-Filter kombinieren.

Die Angabe bestimmter Filteroptionen hat zur Folge, dass nur Einträge, die diesen Angaben entsprechen, im Log-Dateien-Hauptfenster angezeigt werden. Auf diese Weise werden die Einträge gefiltert bzw. eingegrenzt und Siefinden leichter, was Sie suchen. Je präziser Sie die Filteroptionen definieren, desto geringer wird die Anzahl dergefundenen Einträge.

Nach: - Geben Sie eine Zeichenfolge ein (ein Wort oder einen Teil eines Wortes). Es werden nur Einträge angezeigt,die diese Zeichenfolge enthalten. Alle anderen Einträge werden zugunsten besserer Erkennbarkeit nicht angezeigt.

101

101

Zu durchsuchende Spalten: - Wählen Sie die Spalten, die der Filter berücksichtigen soll. Sie können mehr als eineSpalte für das Filtern markieren. Standardmäßig sind alle Spalten markiert:

ZeitModulEreignisBenutzer

Eintragstypen: - Ermöglicht es Ihnen, die Art der anzuzeigenden Einträge anzugeben. Sie können einenbestimmten Eintragstyp, mehrere gleichzeitig oder alle Eintragstypen anzeigen lassen (letztere ist dieStandardeinstellung).

DiagnoseInformationenWarnungFehlerKritisch

Zeitraum: - Verwenden Sie diese Option, wenn Sie Einträge nach dem Zeitraum ihrer Protokollierung filternmöchten. Folgende Möglichkeiten stehen zur Auswahl:

Gesamtes Log (Standardeinstellung) - Filtert nicht nach Zeitraum, sondern zeigt das gesamte Log anGesternLetzte WocheLetzter MonatIntervall - Wählen Sie diese Option, um die Einträge, die während eines bestimmten Zeitraums (Datum undUhrzeit) protokolliert wurden, anzuzeigen.

Neben den oben genannten Einstellungen haben Sie noch folgende Optionen:

Nur ganze Wörter - Zeigt nur Einträge an, in denen eine im Nach-Textfeld eingegebene Zeichenfolge alsvollständiges Wort aufgefunden wird.

Groß-/Kleinschreibung beachten - Zeigt nur Einträge, in denen eine im Nach-Textfeld eingegebene Zeichenfolgemit gleicher Groß- und Kleinschreibung aufgefunden wird.

Smart-Filter aktivieren - Verwenden Sie diese Option, um ESET Mail Security mit eigenen Methoden filtern zulassen.

Wenn Sie die Filteroptionen nach Ihren Wünschen konfiguriert haben, klicken Sie auf OK, um den Filteranzuwenden. Das Hauptfenster Log-Dateien zeigt dann nur Einträge an, die den Filterkriterien entsprechen.

4.5.2 In Log suchen

Neben dem Log-Filter gibt es noch die Suchfunktion in Log-Dateien, die aber auch unabhängig vom Log-Filterverwendet werden kann. Diese Funktion ist sinnvoll, wenn Sie nach bestimmten Log-Einträgen suchen. Wie derLog-Filter hilft auch sie Ihnen beim Auffinden von Informationen, besonders bei einer unüberschaubaren Anzahlvon Einträgen.

Wenn Sie die Funktion „In Log suchen“ verwenden, können Sie im Textfeld Nach das Gesuchte eintragen, dieSuchstellen unter Zu durchsuchende Spalten eingrenzen sowie Eintragstypen und einen Zeitraum für diegesuchten Einträge angeben. Die Angabe bestimmter Suchoptionen hat zur Folge, dass nur Einträge, die diesenAngaben entsprechen, im Log-Dateien-Hauptfenster durchsucht werden.

Um in Log-Dateien zu suchen, öffnen Sie das Dialogfenster In Log suchen mit der Tastenkombination Strg + f.

HINWEIS: Die Funktion „In Log suchen“ können Sie auch in Verbindung mit dem Log-Filter nutzen. Begrenzen Siemithilfe des Log-Filters die Anzahl der Einträge, bevor Sie die Suche innerhalb der herausgefilterten Einträgestarten.

100

100

102

Nach: - Geben Sie eine Zeichenfolge ein (ein Wort oder einen Teil eines Wortes). Es werden nur Einträge angezeigt,die diese Zeichenfolge enthalten. Alle anderen Einträge werden nicht angezeigt.

Zu durchsuchende Spalten: - Wählen Sie die Spalten, die bei der Suche berücksichtigt werden sollen. Sie könnenmehr als eine Spalte für die Suche markieren. Standardmäßig sind alle Spalten markiert:

ZeitModulEreignisBenutzer

Eintragstypen: - Ermöglicht es Ihnen, die Art der zu suchenden Einträge anzugeben. Sie können nach einembestimmten, mehreren oder allen Eintragstypen suchen (letztere ist die Standardeinstellung).

DiagnoseInformationenWarnungFehlerKritisch

Zeitraum: - Verwenden Sie diese Option, wenn Sie Einträge aus einem bestimmten Zeitraum suchen möchten.Folgende Möglichkeiten stehen zur Auswahl:

Gesamtes Log (Standardeinstellung) - Begrenzt die Suche nicht auf einen Zeitraum, sondern durchsucht dasgesamte LogGesternLetzte WocheLetzter MonatIntervall - Wählen Sie diese Option, um die Einträge, die während eines bestimmten Zeitraums (Datum undUhrzeit) protokolliert wurden, zu suchen.

Neben den oben genannten Einstellungen haben Sie noch folgende Optionen:

Nur ganze Wörter - Sucht nur nach Einträgen, die eine im Nach-Textfeld eingegebene Zeichenfolge alsvollständiges Wort enthalten.

Groß-/Kleinschreibung beachten - Sucht nur nach Einträgen, die eine im Nach-Textfeld eingegebene Zeichenfolgemit gleicher Groß- und Kleinschreibung enthalten.

Rückwärts suchen - Sucht von der aktuellen Position aus rückwärts.

Wenn Sie die Suchoptionen konfiguriert haben, klicken Sie auf Suchen, um die Suche zu starten. Die Suche wirdgestoppt, sobald der erste Eintrag gefunden wurde, der den Suchkriterien entspricht. Klicken Sie auf Suchen, umdie Suche fortzusetzen. Von der aktuellen und damit hervorgehobenen Position aus werden die Log-Dateien vonAnfang bis Ende durchsucht.

103

4.5.3 Log-Wartung

Die Log-Konfiguration für ESET Mail Security können Sie aus dem Hauptprogrammfenster aufrufen. Klicken Sie auf Einstellungen > Erweiterte Einstellungen > Tools > Log-Dateien. Für Log-Dateien können die folgendenEinstellungen vorgenommen werden:

Log-Einträge automatisch löschen: Log-Einträge, die länger als die angegebene Anzahl von Tagen gespeichertsind, werden automatisch gelöscht.

Log-Dateien automatisch optimieren: Log-Dateien werden automatisch defragmentiert, wenn der festgelegteProzentsatz an nicht verwendeten Einträgen überschritten wird.

Mindestinformation in Logs: Hier können Sie festlegen, welche Informationen in den Logs enthalten sein sollen.Verfügbare Optionen:

- Diagnosedaten - Alle Meldungen höherer Stufen und alle sonstigen Informationen, die für das Beheben vonFehlern wichtig sein können, werden protokolliert

- Informationen - Meldungen wie erfolgreiche Updates und alle Meldungen höherer Stufen werden protokolliert

- Warnungen - Kritische Fehler und Warnungen werden protokolliert

- Fehler - Nur Fehler wie zum Beispiel „Fehler beim Herunterladen einer Datei“ und kritische Fehler werdenprotokolliert

- Kritische Warnungen - Nur kritische Warnungen (z. B. bei einem Fehler beim Start des Virenschutz-Moduls)werden protokolliert

104

4.6 ESET SysInspector

4.6.1 Einführung in ESET SysInspector

ESET SysInspector ist eine Anwendung, die den Computer gründlich durchsucht und die gesammelten Datenausführlich anzeigt. etwa zu installierten Treibern und Anwendungen, Netzwerkverbindungen oder wichtigenRegistrierungseinträgen. Diese Angaben helfen Ihnen bei der Problemdiagnose, wenn sich ein System nicht wieerwartet verhält - ob dies nun an einer Inkompatibilität (Software/Hardware) oder an einer Malware-Infektionliegt.

Sie können auf zwei Arten auf ESET SysInspector zugreifen: über die in ESET Security-Lösungen integrierte Versionoder indem Sie die eigenständige Version (SysInspector.exe) kostenlos von der ESET-Website herunterladen. DieFunktionen und Steuerelemente beider Programmversionen sind identisch. Die Versionen unterscheiden sich nur inder Ausgabe der Informationen. Sowohl mit der eigenständigen als auch der integrierten Version könnenSnapshots des Systems in einer XML-Datei ausgegeben und auf einem Datenträger gespeichert werden. Mit derintegrierten Version ist es jedoch auch möglich, die System-Snapshots direkt unter Tools > ESET SysInspector zuspeichern (außer ESET Remote Administrator). Weitere Informationen finden Sie im Abschnitt ESET SysInspectorals Teil von ESET Mail Security .

Bitte gedulden Sie sich ein wenig, während ESET SysInspector Ihren Computer prüft. Je nach aktueller Hardware-Konfiguration, Betriebssystem und Anzahl der installierten Anwendungen kann die Prüfung zwischen 10 Sekundenund einigen Minuten dauern.

4.6.1.1 Starten von ESET SysInspector

Zum Starten von ESET SysInspector führen Sie einfach die von der ESET-Website heruntergeladene Programmdatei SysInspector.exe aus. Wenn bereits eine ESET Security-Lösung installiert ist, können Sie ESET SysInspector direkt ausdem Startmenü starten (Programme > ESET > ESET Mail Security).

Bitte haben Sie einen Augenblick Geduld, während die Anwendung Ihr System untersucht. Je nach der Art derHardwarekonfiguration und den zu erfassenden Daten kann dies einige Minuten dauern.

115

105

4.6.2 Benutzeroberfläche und Bedienung

Zur besseren Übersicht ist das Hauptfenster in vier größere Bereiche unterteilt: die Steuerelemente des Programmsoben, das Navigationsfenster links, das Beschreibungsfenster mittig rechts und das Detailfenster unten rechts imHauptfenster. Im Bereich „Log-Status“ werden die grundlegenden Parameter eines Logs aufgeführt:Filterverwendung, Filtertyp, ob das Log Ergebnis eines Vergleichs ist usw.

4.6.2.1 Menüs und Bedienelemente

Dieser Abschnitt beschreibt die Menüs und sonstigen Bedienelemente in ESET SysInspector.

Datei

Über das Menü Datei können Sie die aktuellen Systeminformationen zur späteren Untersuchung speichern oder einzuvor gespeichertes Log wieder öffnen. Falls ein Log weitergegeben werden soll, sollten Sie es über die Funktion Zum Senden geeignet erstellen. Sicherheitsrelevante Daten (Name und Berechtigungen des aktuellen Benutzers,Computername, Domänenname, Umgebungsvariablen usw.) werden dann nicht in das Log aufgenommen.

HINWEIS: Gespeicherte ESET SysInspector-Logs können Sie schnell wieder öffnen, indem Sie sie einfach auf dasHauptfenster ziehen und dort ablegen.

Verzeichnisbaum

Hiermit können Sie alle Knoten erweitern oder schließen sowie die ausgewählten Bereiche in ein Dienste-Skriptexportieren.

Liste

Dieses Menü enthält Funktionen zur einfacheren Navigation im Programm sowie eine Reihe von Zusatzfunktionen,etwa für die Online-Informationssuche.

Hilfe

Über dieses Menü finden Sie Informationen zur Anwendung und ihren Funktionen.

106

Eigenschaften

Dieses Menü beeinflusst die Informationen, die im Hauptfenster dargestellt werden und vereinfacht somit ihreVerwendung. Im Modus „Einfach“ haben Sie Zugang zu Informationen, die Hilfestellung bei gewöhnlichenProblemen im System liefern. Im Modus „Mittel“ sehen Sie weniger häufig benötigte Informationen. Im Modus„Vollständig“ zeigt ESET SysInspector alle verfügbaren Informationen an, sodass Sie auch sehr spezielle Problemebeheben können.

Filterung der Elemente

Mit der Filterfunktion können Sie schnell verdächtige Dateien oder Registrierungseinträge auf Ihrem System finden.Durch Verschieben des Schiebereglers legen Sie fest, ab welcher Risikostufe Objekte angezeigt werden. Befindetsich der Schieberegler ganz links (Risikostufe 1), werden alle Einträge angezeigt. Steht der Schieberegler hingegenweiter rechts, werden alle Objekte unterhalb der eingestellten Risikostufe ausgeblendet, sodass Sie nur die Objekteab einer bestimmten Risikostufe sehen. Steht der Schieberegler ganz rechts, zeigt das Programm nur die alsschädlich bekannten Einträge an.

Alle Objekte der Risikostufen 6 bis 9 stellen unter Umständen ein Sicherheitsrisiko dar. Falls solche Objekte aufIhrem System gefunden werden und Sie keine ESET Security-Lösung einsetzen, empfiehlt sich eine ÜberprüfungIhres Systems mit dem kostenlosen ESET Online Scanner.

HINWEIS: Um schnell herauszufinden, welche Risikostufe ein bestimmtes Objekt hat, vergleichen Sie einfach seineFarbe mit den Farben auf dem Schieberegler für die Risikostufe.

Suchen

Mit der Suche können Sie ein bestimmtes Objekt schnell über seinen Namen (oder einen Teil des Namens) finden.Die Suchergebnisse werden im Beschreibungsfenster angezeigt.

Zurück/Vor

Über die Schaltflächen mit den Pfeilen nach links und rechts können Sie zwischen den bisherigen Anzeigeinhaltendes Beschreibungsbereichs wechseln. Anstatt auf „Vor“ und „Zurück“ zu klicken, können Sie auch die Leertaste bzw.Rücktaste (Backspace) verwenden.

Statusbereich

Hier sehen Sie, welcher Knoten im Navigationsbereich gerade ausgewählt ist.

Wichtig: Rot hervorgehobene Objekte sind unbekannt und werden daher als potenziell gefährlich markiert. Diesbedeutet jedoch nicht automatisch, dass Sie die Datei gefahrlos löschen können. Vergewissern Sie sich vor demLöschen auf jeden Fall, dass die Datei tatsächlich überflüssig ist bzw. dass von ihr eine Gefahr ausgeht.

4.6.2.2 Navigation in ESET SysInspector

In ESET SysInspector gliedern sich die unterschiedlichen Systeminformationen in eine Reihe von Hauptabschnitten,die so genannten „Knoten“. Falls zusätzliche Informationen verfügbar sind, erreichen Sie diese, indem Sie einenKnoten um seine Unterknoten erweitern. Um einen Knoten zu öffnen oder zu reduzieren, doppelklicken Sie auf denNamen des Knotens, oder klicken Sie alternativ auf bzw. neben dem Namen. Soweit vorhanden, werden imBeschreibungsbereich Detailinhalte zum gerade im Navigationsbereich ausgewählten Knoten angezeigt. DieseEinträge im Beschreibungsbereich können Sie dann wiederum auswählen, um (soweit vorhanden) im Detailbereichweitere Detailinformationen dazu anzuzeigen.

Im Folgenden sind die Hauptknoten im Navigationsbereich sowie die dazugehörigen Informationen imBeschreibungs- und Detailbereich beschrieben.

Ausgeführte Prozesse

Dieser Knoten enthält Informationen zu den Anwendungen und Prozessen, die zum Zeitpunkt der Log-Erstellungausgeführt wurden. Das Beschreibungsfenster zeigt weitere Details zu jedem Prozess, etwa die verwendetendynamischen Bibliotheken samt Speicherort, den Namen des Programmherstellers und die Risikostufe der Dateien.

Wenn Sie einen Eintrag im Beschreibungsfenster auswählen, erscheinen im Detailfenster weitere Informationenwie z. B. die Größe oder der Hashwert der betreffenden Datei.

HINWEIS: Ein Betriebssystem enthält verschiedene durchgängig laufende Kernelkomponenten, die grundlegendeund wichtige Funktionen für andere Benutzeranwendungen bereitstellen. In bestimmten Fällen wird für solche

http://go.eset.eu/onlinescanner?lng=1033

107

Prozesse in ESET SysInspector ein Dateipfad angezeigt, der mit \??\ beginnt. Diese Symbole stellen eine vor demStart liegende Optimierung für derartige Prozesse dar. Sie sind für das System ungefährlich.

Netzwerkverbindungen

Wenn Sie im Navigationsbereich ein Protokoll (TCP oder UDP) auswählen, erscheint im Beschreibungsbereich eineListe der Prozesse und Anwendungen, die über das betreffende Protokoll im Netzwerk kommunizieren, samt derjeweiligen Remoteadresse. Außerdem können Sie hier die IP-Adressen der DNS-Server überprüfen.

Wenn Sie einen Eintrag im Beschreibungsfenster auswählen, erscheinen im Detailfenster weitere Informationenwie z. B. die Größe oder der Hashwert der betreffenden Datei.

Wichtige Einträge in der Registrierung

Hier finden Sie eine Liste ausgewählter Registrierungseinträge, die oft im Zusammenhang mit Systemproblemenstehen. Dies betrifft beispielsweise die Registrierungseinträge für Autostart-Programme, Browser-Hilfsobjekte(BHO) usw.

Im Beschreibungsbereich werden die mit dem jeweiligen Registrierungseintrag verbundenen Dateien angezeigt.Das Detailfenster zeigt ggf. zusätzliche Informationen an.

Dienste

Bei diesem Knoten enthält der Beschreibungsbereich eine Liste der Dateien, die als Windows-Dienste registriertsind. Das Detailfenster informiert über spezifische Details und darüber, auf welche Art ein Dienst gestartet wird.

Treiber

Dieser Knoten enthält eine Liste der im System installierten Treiber.

Kritische Dateien

Unter diesem Knoten können Sie sich im Beschreibungsbereich den Inhalt wichtiger Konfigurationsdateien vonMicrosoft Windows anzeigen lassen.

System-Taskplaner

Hier finden Sie eine Liste der Tasks, die vom Windows-Taskplaner zu einer bestimmten Zeit oder in einembestimmten Intervall ausgeführt werden.

Systeminformationen

Hier finden Sie ausführliche Informationen zu Hardware und Software, den gesetzten Umgebungsvariablen, denBenutzerberechtigungen und dem System-Ereignislog.

Dateidetails

Dieser Knoten enthält eine Liste der wichtigen Systemdateien sowie der Dateien im Ordner „Programme“.Zusätzliche Informationen speziell für diese Dateien werden im Beschreibungs- und Detailfenster angezeigt.

Über

Informationen zur Version von ESET SysInspector sowie eine Liste der Programmmodule

4.6.2.2.1 Tastaturbefehle

Für die Arbeit mit ESET SysInspector stehen Ihnen die folgenden Tastaturbefehle zur Verfügung:

Datei

Strg+O Vorhandenes Log öffnenStrg+S Erstelltes Log speichern

Erstellen

Strg+G Standard-Snapshot des Computerstatus erstellenStrg+H Snapshot des Computerstatus erstellen, in dem unter Umständen auch sicherheitsrelevante

Informationen protokolliert werden

108

Filterung

1, O Risikostufe „In Ordnung“ - Objekte mit Risikostufe 1-9 anzeigen2 Risikostufe „In Ordnung“ - Objekte mit Risikostufe 2-9 anzeigen3 Risikostufe „In Ordnung“ - Objekte mit Risikostufe 3-9 anzeigen4, U Risikostufe „Unbekannt“ - Objekte mit Risikostufe 4-9 anzeigen5 Risikostufe „Unbekannt“ - Objekte mit Risikostufe 5-9 anzeigen6 Risikostufe „Unbekannt“ - Objekte mit Risikostufe 6-9 anzeigen7, B Risikostufe „Risikoreich“ - Objekte mit Risikostufe 7-9 anzeigen8 Risikostufe „Risikoreich“ - Objekte mit Risikostufe 8-9 anzeigen9 Risikostufe „Risikoreich“ - Objekte mit Risikostufe 9 anzeigen- Risikostufe vermindern+ Risikostufe erhöhenStrg+9 Filtermodus: Objekte ab der jeweiligen Risikostufe anzeigenStrg+0 Filtermodus: Nur Objekte mit der jeweiligen Risikostufe anzeigen

Anzeigen

Strg+5 Anzeige nach Hersteller - alle HerstellerStrg+6 Anzeige nach Hersteller - nur MicrosoftStrg+7 Anzeige nach Hersteller - alle anderen HerstellerStrg+3 Einstellung „Eigenschaften“ auf „Vollständig“ setzenStrg+2 Einstellung „Eigenschaften“ auf „Mittel“ setzenStrg+1 Einstellung „Eigenschaften“ auf „Einfach“ setzenRücktaste Einen Schritt zurückLeertaste Einen Schritt weiterStrg+W Knoten erweitern (ausklappen)Strg+Q Knoten verkleinern (einklappen)

Diverse Befehle

Strg+T Zur ursprünglichen Position eines in den Suchergebnissen ausgewählten Elements springenStrg+P Grundlegende Angaben zu einem Element anzeigenCtrl+A Vollständige Angaben zu einem Element anzeigenStrg+C Daten/Baumpfad des aktuellen Elements kopierenStrg+X Elemente ausschneidenStrg+B Im Internet nach Informationen zur ausgewählten Datei suchenStrg+L Speicherordner der ausgewählten Datei öffnenStrg+R Betreffenden Eintrag im Registrierungseditor öffnenStrg+Z Dateipfad kopieren (wenn sich das Element auf eine Datei bezieht)Strg+F Zum Suchfeld wechselnStrg+D Suchergebnisse schließenStrg+E Dienste-Skript ausführen

Vergleich

Strg+Alt+O Ursprüngliches Log/Vergleichs-Log öffnenStrg+Alt+R Vergleich schließenStrg+Alt+1 Alle Elemente anzeigenStrg+Alt+2 Nur hinzugefügte Elemente anzeigen (Elemente, die nur im aktuellen Log vorhanden sind)Strg+Alt+3 Nur gelöschte Elemente anzeigen (Elemente, die nur im ursprünglichen Log vorhanden sind)Strg+Alt+4 Nur ersetzte Elemente (inkl. Dateien) anzeigenStrg+Alt+5 Nur Unterschiede zwischen den Logs anzeigenStrg+Alt+C Vergleich anzeigenStrg+Alt+N Aktuelles Log anzeigenStrg+Alt+P Ursprüngliches Log öffnen

Allgemein

F1 Hilfe anzeigenAlt+F4 Programm beendenAlt+Umschalt+F4

Programm ohne Rückfrage beenden

Strg+I Log-Statistik anzeigen

109

4.6.2.3 Vergleichsfunktion

Mit der „Vergleichen“-Funktion ist es möglich, zwei bestehende Log-Dateien miteinander zu vergleichen. AlsErgebnis werden die Unterschiede zurückgegeben, also die Einträge, die nicht in beiden Logs enthalten sind. DieseFunktion ist geeignet, um Änderungen am System zu erkennen, und hilft, die Aktivitäten von Schadcode zuentdecken.

Nach dem Start erzeugt die Anwendung ein neues Log, das in einem neuen Fenster angezeigt wird. Um das Log zuspeichern, klicken Sie auf Datei > Log-Datei speichern. Gespeicherte Log-Dateien können Sie später wieder öffnen,um sie einzusehen. Ein bestehendes Log öffnen Sie über Datei > Log-Datei öffnen. Im Hauptfenster von ESETSysInspector wird immer nur jeweils ein Log angezeigt.

Die Vergleichsfunktion hat den Vorteil, dass Sie sich eine aktive und eine gespeicherte Log-Datei anzeigen lassenkönnen. Hierzu klicken Sie auf Datei > Logs vergleichen und wählen dann Datei auswählen. Das ausgewählte Logwird nun mit dem aktiven (im Programmfenster angezeigten) Log verglichen. Das Vergleichs-Log führt lediglichUnterschiede zwischen diesen beiden Logs auf.

HINWEIS: Wenn Sie nach dem Vergleich zweier Logs auf Datei > Log-Datei speichern klicken und das Ergebnis alsZIP-Datei speichern, werden beide Log-Dateien gespeichert. Wenn Sie die so entstandene Datei später öffnen,werden die enthaltenen Logs automatisch verglichen.

Neben den einzelnen Einträgen sehen Sie in ESET SysInspector Symbole, die angeben, um was für eine Art vonUnterschied es sich handelt.

Einträge, die mit einem markiert sind, sind nur im aktuellen Log vorhanden, nicht jedoch im geöffnetenVergleichs-Log. Einträge, die mit einem markiert sind, waren nur zur Erstellungszeit des Vergleichs-Logsvorhanden, sind es jedoch nicht mehr im aktuellen Log.

Die einzelnen Symbole haben die folgende Bedeutung:

Neuer Wert, nicht im vorherigen Log enthalten Betreffender Zweig der Baumstruktur enthält neue Werte Gelöschter Wert, nur im vorherigen Log enthalten Betreffender Zweig der Baumstruktur enthält gelöschte Werte Wert/Datei wurde geändert Betreffender Zweig der Baumstruktur enthält geänderte Werte/Dateien Risiko ist gesunken (war im vorherigen Log höher) Risiko ist gestiegen (war im vorherigen Log niedriger)

Die Bedeutung aller Symbole sowie die Namen der verglichenen Logs werden auch in der Legende links unten imProgrammfenster angezeigt.

Sie können jedes Vergleichs-Log in einer Datei speichern und später wieder öffnen.

Beispiel

Erstellen und speichern Sie ein Log, das die ursprünglichen Informationen über das System enthält, als vorher.xml.Nachdem Sie Änderungen am System vorgenommen haben, öffnen Sie ESET SysInspector und erstellen Sie einneues Log. Speichern Sie dieses unter dem Namen neu.xml.

Um die Unterschiede zwischen diesen beiden Logs zu sehen, klicken Sie auf Datei > Logs vergleichen. DasProgramm erstellt so ein Vergleichs-Log, das die Unterschiede zwischen den beiden Logs zeigt.

Dasselbe Ergebnis erzielen Sie bei einem Aufruf über die Befehlszeile mit den folgenden Parametern:

SysInspector.exe neu.xml vorher.xml

110

4.6.3 Kommandozeilenparameter

Mit ESET SysInspector können Sie auch von der Kommandozeile aus Berichte erzeugen. Hierzu stehen die folgendenParameter zur Verfügung:

/gen Ergebnis-Log direkt aus der Kommandozeile erzeugen, keine grafische Oberfläche anzeigen/privacy Keine sicherheitsrelevanten Informationen ins Log aufnehmen/zip Ergebnis-Log direkt in einer komprimierten Datei auf dem Datenträger speichern/silent Keine Fortschrittsleiste während der Erstellung des Logs anzeigen/help, /? Hilfe zu den Kommandozeilenparametern anzeigen

Beispiele

Bestimmtes Log direkt in den Browser laden: SysInspector.exe "c:\clientlog.xml"Log im aktuellen Ordner speichern: SysInspector.exe /genLog in einem bestimmten Ordner speichern: SysInspector.exe /gen="c:\ordner\"Log in einer bestimmten Datei speichern: SysInspector.exe /gen="c:\ordner\meinlog.xml"Log ohne sicherheitsrelevante Daten direkt in einer komprimierten Datei speichern: SysInspector.exe /gen="c:\meinlog.zip" /privacy /zipZwei Logs vergleichen: SysInspector.exe "log_neu.xml" "log_alt.xml"

HINWEIS: Datei- und Ordnernamen mit Leerzeichen sollten in Hochkommata gesetzt werden.

4.6.4 Dienste-Skript

Ein Dienste-Skript ist ein Hilfsmittel für Benutzer von ESET SysInspector zur einfachen Entfernung unerwünschterObjekte aus dem System.

Über ein Dienste-Skript können Sie das gesamte ESET SysInspector-Log oder ausgewählte Teile davon exportieren.Nach dem Export können Sie unerwünschte Objekte zum Löschen markieren. Anschließend können Sie das sobearbeitete Log ausführen, um die markierten Objekte zu löschen.

Dienste-Skripte sind für erfahrene Benutzer gedacht, die sich gut mit der Diagnose und Behebung vonSystemproblemen auskennen. Unqualifizierte Änderungen können das Betriebssystem beschädigen.

Beispiel

Wenn Sie vermuten, dass Ihr Computer mit einem Virus infiziert ist, den Ihr Antivirusprogramm nicht erkennt,gehen Sie wie folgt vor:

Führen Sie ESET SysInspector aus, um einen neuen System-Snapshot zu erstellen.Wählen Sie das erste Objekt im Navigationsbereich auf der linken Seite aus, halten Sie die Strg-Taste gedrücktund klicken Sie auf das letzte Objekt im Navigationsbereich, um den gesamten Inhalt zu markieren.Klicken Sie mit der rechten Maustaste auf die ausgewählten Objekte und wählen Sie die Option AusgewählteBereiche in das Dienste-Skript exportieren aus dem Kontextmenü.Die ausgewählten Objekte werden in ein neues Log exportiert.Sie kommen nun zum wichtigsten Schritt des gesamten Vorgangs: Öffnen Sie das neue Log und ändern Sie dasZeichen „-“ vor allen Objekten, die gelöscht werden sollen, auf „+“. Stellen Sie sicher, dass Sie keine wichtigeBetriebssystem-Dateien oder -Objekte markieren.Öffnen Sie ESET SysInspector, klicken Sie auf Datei > Dienste-Skript ausführen und geben Sie den Pfad zu IhremSkript ein.Klicken Sie auf OK, um das Skript auszuführen.

4.6.4.1 Erstellen eines Dienste-Skripts

Um ein Skript zu erstellen, klicken Sie im ESET SysInspector-Hauptfenster mit der rechten Maustaste auf einbeliebiges Element im Navigationsbereich auf der linken Seite des Fensters. Wählen Sie im Kontextmenü dannentweder Alle Bereiche in das Dienste-Skript exportieren oder Ausgewählte Bereiche in das Dienste-Skriptexportieren.

HINWEIS: Wenn Sie gerade zwei Logs miteinander vergleichen, ist kein Export in ein Dienste-Skript möglich.

111

4.6.4.2 Aufbau des Dienste-Skripts

In der ersten Zeile des Skriptheaders finden Sie Angaben zur Engine-Version (ev), zur Version derBenutzeroberfläche (gv) sowie zur Log-Version (lv). Über diese Angaben können Sie mögliche Änderungen an derXML-Datei verfolgen, über die das Skript erzeugt wird, und dadurch Inkonsistenzen bei der Ausführung vermeiden.An diesem Teil des Skripts sollten keine Änderungen vorgenommen werden.

Der Rest der Datei gliedert sich in mehrere Abschnitte, deren Einträge Sie bearbeiten können, um festzulegen,welche davon bei der Ausführung verarbeitet werden sollen. Um einen Eintrag für die Verarbeitung zu markieren,ersetzen Sie das davor stehende Zeichen „-“ durch ein „+“. Die einzelnen Skriptabschnitte sind jeweils durch eineLeerzeile voneinander getrennt. Jeder Abschnitt hat eine Nummer und eine Überschrift.

01) Running processes (Ausgeführte Prozesse)

Dieser Abschnitt enthält eine Liste mit allen Prozessen, die auf dem System ausgeführt werden. Für jeden Prozessist der UNC-Pfad gefolgt vom CRC16-Hashwert in Sternchen (*) aufgeführt.

Beispiel:

01) Running processes:- \SystemRoot\System32\smss.exe *4725*- C:\Windows\system32\svchost.exe *FD08*+ C:\Windows\system32\module32.exe *CF8A*[...]

In diesem Beispiel wurde der Prozess module32.exe ausgewählt, indem er mit dem Zeichen „+“ markiert wurde.Beim Ausführen des Skripts wird dieser Prozess beendet.

02) Loaded modules (Geladene Module)

Dieser Abschnitt enthält eine Liste der momentan verwendeten Systemmodule.

Beispiel:

02) Loaded modules:- c:\windows\system32\svchost.exe- c:\windows\system32\kernel32.dll+ c:\windows\system32\khbekhb.dll- c:\windows\system32\advapi32.dll[...]

In diesem Beispiel wurde das Modul khbekhb.dll mit einem „+“ markiert. Beim Ausführen des Skripts werden alleProzesse, die dieses Modul verwenden, ermittelt und anschließend beendet.

03) TCP connections (TCP-Verbindungen)

Dieser Abschnitt enthält Informationen zu den aktiven TCP-Verbindungen.

Beispiel:

03) TCP connections:- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE- Listening on *, port 135 (epmap), owner: svchost.exe+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System[...]

Beim Ausführen des Skripts wird der Eigentümer des Sockets der markierten TCP-Verbindungen ermittelt.Anschließend wird der Socket beendet, wodurch Systemressourcen wieder frei werden.

04) UDP endpoints (UDP-Endpunkte)

Dieser Abschnitt enthält Informationen zu den aktiven UDP-Endpunkten.

Beispiel:

04) UDP endpoints:- 0.0.0.0, port 123 (ntp)+ 0.0.0.0, port 3702- 0.0.0.0, port 4500 (ipsec-msft)- 0.0.0.0, port 500 (isakmp)[...]

Beim Ausführen des Skripts wird der Eigentümer des Sockets der markierten UDP-Verbindungen ermittelt.Anschließend wird der Socket beendet.

112

05) DNS server entries (DNS-Servereinträge)

Dieser Abschnitt enthält Angaben zur aktuellen DNS-Serverkonfiguration.

Beispiel:

05) DNS server entries:+ 204.74.105.85- 172.16.152.2[...]

Beim Ausführen des Skripts werden die markierten DNS-Servereinträge entfernt.

06) Important registry entries (Wichtige Registrierungseinträge)

Dieser Abschnitt enthält Informationen zu wichtigen Registrierungseinträgen.

Beispiel:

06) Important registry entries:* Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- HotKeysCmds = C:\Windows\system32\hkcmd.exe- IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c* Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main+ Default_Page_URL = http://thatcrack.com/[...]

Beim Ausführen des Skripts werden die markierten Einträge gelöscht, auf eine Länge von 0 Byte abgeschnitten oderauf die Standardwerte zurückgesetzt. Was davon im Einzelfall geschieht, hängt von der Art des Eintrags und demWert des Schlüssels ab.

07) Services (Dienste)

Dieser Abschnitt enthält eine Liste der auf dem System registrierten Dienste.

Beispiel:

07) Services:- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup:Automatic- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup:Automatic- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup:Manual[...]

Beim Ausführen des Skripts werden die markierten Dienste samt davon abhängiger Dienste beendet unddeinstalliert.

08) Drivers (Treiber)

Dieser Abschnitt enthält eine Liste der installierten Treiber.

Beispiel:

08) Drivers:- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual[...]

Beim Ausführen des Skripts wird die Ausführung der ausgewählten Treiber beendet. Beachten Sie bitte, dass diesbei einigen Treibern nicht möglich ist.

09) Critical files (Kritische Dateien)

Dieser Abschnitt enthält Angaben zu Dateien, die für eine korrekte Funktion des Betriebssystems wesentlich sind.

113

Beispiel:

09) Critical files:* File: win.ini- [fonts]- [extensions]- [files]- MAPI=1[...]* File: system.ini- [386Enh]- woafont=dosapp.fon- EGA80WOA.FON=EGA80WOA.FON[...]* File: hosts- 127.0.0.1 localhost- ::1 localhost[...]

Die ausgewählten Objekte werden entweder gelöscht oder auf ihren ursprünglichen Wert zurückgesetzt.

4.6.4.3 Ausführen von Dienste-Skripten

Markieren Sie die gewünschten Elemente, speichern und schließen Sie das Skript. Führen Sie das fertige Skript danndirekt aus dem ESET SysInspector-Hauptfenster aus, indem Sie im Menü „Datei“ auf Dienste-Skript ausführenklicken. Beim Öffnen eines Skripts wird die folgende Bestätigungsabfrage angezeigt: Möchten Sie das Dienste-Skript „%Skriptname%“ wirklich ausführen? Nachdem Sie diese Abfrage bestätigt haben, erscheint unterUmständen eine weitere Warnmeldung, dass das auszuführende Dienste-Skript nicht signiert wurde. Klicken Sieauf Starten, um das Skript auszuführen.

Ein Dialogfenster mit der Bestätigung über die erfolgreiche Ausführung des Skripts wird angezeigt.

Wenn das Skript nur teilweise verarbeitet werden konnte, wird ein Dialogfenster mit der folgenden Meldungangezeigt: Das Dienste-Skript wurde teilweise ausgeführt. Möchten Sie den Fehlerbericht anzeigen? WählenSie Ja, um einen ausführlichen Fehlerbericht mit Informationen zu den nicht ausgeführten Aktionen anzuzeigen.

Wenn das Skript nicht erkannt wurde, wird ein Dialogfenster mit der folgenden Meldung angezeigt: Dasausgewählte Dienste-Skript trägt keine Signatur. Wenn Sie unbekannte Skripts und Skripte ohne Signaturausführen, können die Daten Ihres Computers beschädigt werden. Möchten Sie das Skript und die Aktionenwirklich ausführen? Eine solche Meldung kann durch Inkonsistenzen im Skript verursacht werden (beschädigterHeader, beschädigte Abschnittsüberschrift, fehlende Leerzeile zwischen Bereichen usw.). Sie können dannentweder die Skriptdatei öffnen und die Fehler beheben oder ein neues Dienste-Skript erstellen.

4.6.5 Häufige Fragen (FAQ)

Muss ESET SysInspector mit Administratorrechten ausgeführt werden?

ESET SysInspector muss zwar nicht unbedingt mit Administratorrechten ausgeführt werden, einige Informationenkönnen jedoch nur über ein Administratorkonto erfasst werden. Bei einer Ausführung unter einer niedrigerenBerechtigungsstufe (Standardbenutzer, eingeschränkter Benutzer) werden daher weniger Informationen zurSystemumgebung erfasst.

Erstellt ESET SysInspector eine Log-Datei?

ESET SysInspector kann eine Log-Datei mit der Konfiguration Ihres Computers erstellen. Um diese zu speichern,wählen Sie Datei > Log-Datei speichern aus dem Hauptmenü. Die Logs werden im XML-Format gespeichert.Standardmäßig erfolgt dies im Verzeichnis %USERPROFILE%\Eigene Dateien\ und unter einem Namen nach demMuster „SysInspector-%COMPUTERNAME%-JJMMTT-HHMM.XML“. Falls Sie es vorziehen, können Sie Speicherortund -namen vor dem Speichern ändern.

Wie zeige ich eine ESET SysInspector-Log-Datei an?

Um eine von ESET SysInspector erstellte Log-Datei anzuzeigen, starten Sie das Programm und klicken imHauptmenü auf Datei > Log öffnen. Sie können Log-Dateien auch auf ESET SysInspector ziehen und dort ablegen.Wenn Sie häufig Log-Dateien aus ESET SysInspector anzeigen müssen, empfiehlt es sich, auf dem Desktop eineVerknüpfung zur Datei SYSINSPECTOR.EXE anzulegen. So können Sie Log-Dateien einfach auf dieses Symbolziehen, um sie zu öffnen. Aus Sicherheitsgründen ist es unter Windows Vista und Windows 7 ggf. nicht möglich,Dateien per Drag and Drop zwischen Fenstern mit unterschiedlichen Sicherheitsberechtigungen zu verschieben.

114

Ist eine Spezifikation für das Format der Log-Dateien verfügbar? Wie steht es um ein Software DevelopmentKit (SDK)?

Da sich das Programm noch in der Entwicklung befindet, gibt es momentan weder eine Dokumentation für dasDateiformat noch ein SDK. Je nach Kundennachfrage wird sich dies nach der offiziellen Veröffentlichung desProgramms eventuell ändern.

Wie bewertet ESET SysInspector das Risiko, das von einem bestimmten Objekt ausgeht?

Um Objekten wie Dateien, Prozessen, Registrierungsschlüsseln usw. eine Risikostufe zuzuordnen, verwendet ESETSysInspector in der Regel einen Satz heuristischer Regeln, mit denen die Merkmale des Objekts untersucht werden,um anschließend nach entsprechender Gewichtung das Potenzial für schädliche Aktivitäten abzuschätzen.Basierend auf dieser Heuristik wird Objekten dann eine Risikostufe zugewiesen, von 1 - In Ordnung (grün) bis 9 -Risikoreich(rot). Die Farbe der Abschnitte im Navigationsbereich im linken Teil des Programmfensters richtet sichnach der höchsten Risikostufe, die ein darin enthaltenes Objekt hat.

Bedeutet eine Risikostufe von „6 - Unbekannt (rot)“, dass ein Objekt gefährlich ist?

Die Einschätzung von ESET SysInspector legt nicht endgültig fest, ob eine Gefahr von einem Objekt ausgeht. DieseEntscheidung muss ein Sicherheitsexperte treffen. ESET SysInspector kann hierbei helfen, indem es dem Expertenschnell zeigt, welche Objekte eventuell gründlicher untersucht werden müssen.

Warum stellt ESET SysInspector beim Start eine Verbindung ins Internet her?

Wie viele Anwendungen ist auch ESET SysInspector mit einem digitalen Zertifikat signiert, mit dem überprüftwerden kann, dass die Software tatsächlich von ESET stammt und nicht verändert wurde. Hierzu baut dasBetriebssystem eine Verbindung zu einer Zertifizierungsstelle auf, um die Identität des Softwareherstellers zuüberprüfen. Dies ist ein normaler Vorgang für alle digital signierten Programme unter Microsoft Windows.

Was ist Anti-Stealth-Technologie?

Die Anti-Stealth-Technologie ermöglicht eine effektive Erkennung von Rootkits.

Wenn ein System von Schadcode angegriffen wird, der sich wie ein Rootkit verhält, ist der Benutzer dem Risiko vonDatenverlust oder -diebstahl ausgesetzt. Ohne spezielle Tools ist es quasi unmöglich, solche Rootkits zu erkennen.

Warum ist bei Dateien manchmal Microsoft als Unterzeichner angegeben, wenn gleichzeitig aber ein andererFirmenname angezeigt wird?

Beim Versuch, die digitale Signatur einer ausführbaren Datei zu ermitteln, überprüft ESET SysInspector zuerst, ob inder Datei eine eingebettete Signatur vorhanden ist. Wenn ja, wird die Datei anhand dieser Informationenüberprüft. Falls die Datei keine digitale Signatur enthält, sucht ESI nach einer zugehörigen CAT-Datei(Sicherheitskatalog - %systemroot%\system32\catroot), die Informationen über die Datei enthält. Falls eineentsprechende CAT-Datei existiert, wird deren digitale Signatur beim Überprüfungsprozess für die ausführbareDatei übernommen.

Aus diesem Grund sind einige Dateien mit „Signatur MS“ markiert, obwohl unter „Firmenname“ ein anderer Eintragvorhanden ist.

Beispiel:

Windows 2000 enthält die Anwendung „HyperTerminal“ in C:\Programme\Windows NT. Die Haupt-Programmdateidieser Anwendung ist nicht digital signiert. ESET SysInspector weist jedoch Microsoft als Unterzeichner aus. Diesliegt daran, dass in C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat ein Verweis auf C:\Programme\Windows NT\hypertrm.exe (die Haupt-Programmdatei von HyperTerminal) vorhanden ist und sp4.catwiederum durch Microsoft digital signiert wurde.

115

4.6.6 ESET SysInspector als Teil von ESET Mail Security

Um den ESET SysInspector-Bereich in ESET Mail Security zu öffnen, klicken Sie auf Tools > ESET SysInspector. DasVerwaltungssystem im ESET SysInspector-Fenster ähnelt dem von Prüfungslogs oder geplanten Tasks. AlleVorgänge mit Systemsnapshots - Erstellen, Anzeigen, Vergleichen, Entfernen und Exportieren - sind mit einem oderzwei Klicks zugänglich.

Das ESET SysInspector-Fenster enthält Basisinformationen zum erstellten Snapshot wie z. B. Erstellungszeitpunkt,kurzer Kommentar, Name des Benutzers, der den Snapshot erstellt hat, sowie den Status des Snapshots.

Zum Vergleichen, Erstellen oder Löschen von Snapshots verwenden Sie die entsprechenden Schaltflächen unter derSnapshot-Liste im ESET SysInspector-Fenster. Dieselben Optionen stehen auch über das Kontextmenü zurVerfügung. Um den ausgewählten Systemsnapshot anzuzeigen, verwenden Sie den Befehl Anzeigen imKontextmenü. Um den ausgewählten Snapshot in eine Datei zu exportieren, klicken Sie mit der rechten Maustastedarauf und wählen Exportieren.

Die einzelnen Befehle sind nachstehend noch einmal ausführlicher beschrieben:

Vergleichen - Hiermit können Sie zwei vorhandene Logs vergleichen. Diese Funktion eignet sich dafür, alleUnterschiede zwischen dem aktuellen und einem älteren Log zu ermitteln. Um sie zu nutzen, müssen Sie zweiSnapshots zum Vergleich auswählen.Erstellen... - Erstellen eines neuen Snapshots. Hierzu müssen Sie zunächst einen kurzen Kommentar zumSnapshot eingeben. Der Erstellungsfortschritt wird in der Spalte Status angezeigt. Fertige Snapshots haben denStatus Erstellt.Löschen/Alle löschen - Entfernt Einträge aus der Liste.Exportieren... - Speichert den ausgewählten Eintrag als XML-Datei (wahlweise auch komprimiert als ZIP-Datei).

4.7 ESET SysRescue

ESET SysRescue ist ein Utility, mit dem Sie einen bootfähigen Datenträger mit einer ESET Security-Lösung erstellenkönnen. Dabei kann es sich um ESET NOD32 Antivirus, ESET Smart Security oder auch eines der Serverproduktehandeln. Der große Vorteil von ESET SysRescue ist, dass die ESET Security-Lösung damit unabhängig vomBetriebssystem auf dem jeweiligen Rechner ausgeführt werden kann und direkten Zugriff auf die Festplatte sowiedas gesamte Dateisystem hat. Auf diese Weise lassen sich auch Infektionen entfernen, bei denen diesnormalerweise (bei laufendem Betriebssystem usw.) nicht möglich wäre.

4.7.1 Minimalanforderungen

ESET SysRescue verwendet das Microsoft Windows Preinstallation Environment (Windows PE) Version 2.x, daswiederum auf Windows Vista basiert.

Windows PE ist Teil des kostenlosen Windows Automated Installation Kit (Windows AIK) und des WindowsAssessment and Deployment Kit (Windows ADK). Vor dem Erstellen eines ESET SysRescue-Mediums muss daherdas Windows AIK oder das Windows ADK installiert werden (Download unter <%http://go.eset.eu/AIK%> bzw. <%http://go.eset.eu/ADK%>). Das zu installierende Kit hängt vom verwendeten Betriebssystem ab. Da die 32-Bit-Version von Windows PE unterstützt wird, muss beim Erstellen von ESET SysRescue auf 64-Bit-Systemen ein 32-Bit-Installationspaket der ESET Security-Lösung verwendet werden. ESET SysRescue unterstützt das Windows AIK 1.1und höher sowie das Windows ADK.

HINWEIS: Da das Windows AIK über 1 GB und das Windows ADK etwa 1,3 GB groß ist, ist für einen reibungslosenDownload eine schnelle Internetverbindung erforderlich.

ESET SysRescue ist in ESET Security-Lösungen ab Version 4.0 verfügbar.

ESET SysRescue unterstützt die folgenden Betriebssysteme:

Windows Server 2003 Service Pack 1 mit KB926044 Windows Server 2003 Service Pack 2Windows Server 2008Windows Server 2012

Das Windows AIK unterstützt:

http://go.eset.eu/AIK

http://go.eset.eu/ADK


116

Windows Server 2003Windows Server 2008

Das Windows ADK unterstützt:

Windows Server 2012

4.7.2 Erstellen der Rettungs-CD

Klicken Sie auf Start > Programme > ESET > ESET Mail Security > ESET SysRescue, um den ESET SysRescue-Assistenten zu starten.

Zuerst prüft der Assistent, ob das Windows AIK bzw. ADK und ein geeignetes Gerät für die Erstellung desBootmediums verfügbar sind. Wenn das Windows AIK bzw. ADK auf Ihrem Computer nicht installiert (oderbeschädigt oder nicht korrekt installiert) ist, bietet Ihnen der Assistent die Möglichkeit, es zu installieren oder denPfad zu Ihrem Windows AIK-Ordner (<%http://go.eset.eu/AIK%>) bzw. Windows ADK-Ordner (<%http://go.eset.eu/ADK%>) anzugeben.

HINWEIS: Da das Windows AIK über 1 GB und das Windows ADK etwa 1,3 GB groß ist, ist für einen reibungslosenDownload eine schnelle Internetverbindung erforderlich.

Im nächsten Schritt wählen Sie das Zielmedium für ESET SysRescue aus.

4.7.3 Zielauswahl

Neben CD/DVD/USB können Sie ESET SysRescue auch in einer ISO-Datei speichern. Später können Sie dann dasISO-Abbild auf CD/DVD brennen oder es anderweitig verwenden (z. B. in einer virtuellen Umgebung wie VMwareoder VirtualBox).

Von einem USB-Medium kann eventuell nicht auf allen Computern gebootet werden. Manche BIOS-Versionenmelden Probleme mit der Kommunikation zwischen BIOS und Bootmanager (z. B. bei Windows Vista). In diesenFällen wird der Bootvorgang mit der folgenden Fehlermeldung abgebrochen:

file : \boot\bcdstatus : 0xc000000einfo : an error occurred while attemping to read the boot configuration data

Wenn diese Fehlermeldung angezeigt wird, wählen Sie als Zielmedium CD anstelle von USB.

4.7.4 Einstellungen

Vor der Erstellung der ESET SysRescue-CD werden beim letzten Schritt im ESET SysRescue-Installationsassistenteneinige Kompilierungsparameter angezeigt. Diese können Sie über die Schaltfläche Ändern bearbeiten. Es stehen diefolgenden Optionen zur Verfügung:

OrdnerESET AntivirusErweitertInternetprotokoll Bootfähiges USB-Gerät (wenn als Ziel ein USB-Gerät ausgewählt wurde) Brennen (wenn als Ziel ein CD/DVD-Laufwerk ausgewählt wurde)

Die Schaltfläche Erstellen ist inaktiv, wenn kein MSI-Installationspaket angegeben wurde oder wenn keine ESETSecurity-Lösung auf dem Computer installiert ist. Um ein Installationspaket auszuwählen, klicken Sie auf Ändernund wählen dann die Registerkarte ESET Antivirus. Beachten Sie bitte außerdem, dass die Schaltfläche Erstellennur dann aktiv ist, wenn Sie einen Benutzernamen und ein Passwort eingeben (Ändern > ESET Antivirus).

116

117

117

117

118

118

118

http://go.eset.eu/AIK



117

4.7.4.1 Ordner

Temporärer Ordner ist das Arbeitsverzeichnis für die bei der Kompilierung eines ESET SysRescue-Mediumserforderlichen Dateien.

ISO-Ordner ist der Ordner, in dem die fertige ISO-Datei nach Abschluss der Kompilierung gespeichert wird.

In der Liste auf dieser Registerkarte werden alle lokalen Laufwerke und zugeordneten Netzlaufwerke mit demjeweils verfügbaren freien Speicherplatz angezeigt. Falls einer der hier angegebenen Ordner auf einem Laufwerkmit zu wenig freiem Speicherplatz liegt, sollten Sie ein anderes Laufwerk mit mehr freiem Speicherplatz auswählen.Anderenfalls bricht die Kompilierung möglicherweise vorzeitig ab.

Externe Anwendungen - Hiermit können Sie zusätzliche Programme festlegen, die nach dem Starten von einemESET SysRescue-Medium ausgeführt oder installiert werden.

Externe Anwendungen einschließen - Mit dieser Option können Sie externe Programme zur ESET SysRescue-Kompilation hinzufügen.

Ausgewählter Ordner - Ordner, in dem sich die Programme befinden, die zur ESET SysRescue-CD hinzugefügtwerden sollen

4.7.4.2 ESET Antivirus

Beim Erstellen der ESET SysRescue-CD können Sie zwei Quellen für die vom Compiler zu verwendenden ESET-Dateien wählen.

ESS/EAV-Ordner - Es werden die bereits vorhandenen Dateien aus dem Ordner verwendet, in dem die ESETSecurity-Lösung auf dem Computer installiert ist.

MSI-Datei - Es werden die im MSI-Installationspaket enthaltenen Dateien verwendet.

Danach können Sie den Speicherort der (.nup-)Dateien ändern. Normalerweise sollte die Standardoption ESS/EAV-Ordner/MSI-Datei eingestellt sein. In Ausnahmefällen kann ein benutzerdefinierter Update-Ordner ausgewähltwerden, z. B. um eine ältere oder neuere Version der Signaturdatenbank zu verwenden.

Sie können eine der beiden folgenden Quellen für Benutzername und Passwort verwenden:

ESS/EAV-Installation - Benutzername und Passwort werden der vorhandenen Installation der ESET Security-Lösung entnommen.

Von Benutzer - Es werden der Benutzername und das Passwort verwendet, die Sie in den dazugehörigen Felderneingeben.

HINWEIS: Die ESET Security-Lösung auf der ESET SysRescue-CD wird entweder über das Internet oder über dieESET Security-Lösung aktualisiert, die auf dem Computer installiert ist, auf dem die ESET SysRescue-CD ausgeführtwird.

4.7.4.3 Erweiterte Einstellungen

Auf der Registerkarte Erweitert können Sie die ESET SysRescue-CD für die Größe des Arbeitsspeichers auf IhremComputer optimieren. Wählen Sie 576 MB oder mehr, um den Inhalt der CD in den Arbeitsspeicher (RAM) zuübertragen. Wenn Sie weniger als 576 MB auswählen, wird permanent auf die Recovery-CD zugegriffen, währendWinPE läuft.

Im Bereich Externe Treiber können Sie Treiber für Ihre Hardware (z. B. Netzwerkadapter) hinzufügen. Da WinPEauf Windows Vista SP1 basiert, ist eine breite Hardwareunterstützung gegeben. In manchen Fällen kann es jedochvorkommen, dass Hardware nicht erkannt wird. In diesem Fall müssen Sie den Treiber von Hand hinzufügen. Umden Treiber in ESET SysRescue zu integrieren, gibt es zwei Möglichkeiten: manuell (über die Schaltfläche Hinzufügen) oder automatisch (Schaltfläche Autom. Suche). Bei der manuellen Methode müssen Sie den Pfad zurpassenden .inf-Datei auswählen (die dazugehörige *.sys-Datei muss ebenfalls in diesem Ordner liegen). Bei derautomatischen Methode wird der Treiber automatisch im Betriebssystem des aktuellen Computers gesucht. DieseMethode sollten Sie nur verwenden, wenn Sie ESET SysRescue später auf einem Computer mit derselben Hardware(z. B. Netzwerkadapter) wie dem Computer nutzen, auf dem Sie die ESET SysRescue-CD erstellt haben. Bei derErstellung der ESET SysRescue-CD wird der Treiber integriert, sodass Sie ihn später nicht mehr suchen müssen.

118

4.7.4.4 Internetprotokoll

In diesem Bereich können Sie grundlegende Netzwerkinformationen konfigurieren und vordefinierte Verbindungenfür ESET SysRescue einrichten.

Wählen Sie Automatische private IP-Adresse, um die IP-Adresse automatisch vom DHCP-Server (Dynamic HostConfiguration Protocol) abzurufen.

Alternativ kann bei dieser Netzwerkverbindung auch eine manuell eingegebene IP-Adresse (statische IP-Adresse)verwendet werden. Wählen Sie Benutzerdefiniert zur Konfiguration der entsprechenden IP-Einstellungen. WennSie diese Option aktivieren, müssen Sie eine IP-Adresse eingeben, bei LAN- und Breitband-Internetverbindungenzusätzlich eine Subnetzmaske. Geben Sie bei Bevorzugter DNS-Server und Alternativer DNS-Server die IP-Adressen des primären und sekundären DNS-Servers ein.

4.7.4.5 Bootfähiges USB-Gerät

Falls Sie ein USB-Gerät als Zielmedium ausgewählt haben, können Sie eines der verfügbaren USB-Medien auf derRegisterkarte Bootfähiges USB-Gerät auswählen (falls mehrere USB-Geräte vorhanden sind).

Wählen Sie das entsprechende Ziel-Gerät aus, auf dem ESET SysRescue installiert werden soll.

Warnung: Das ausgewählte USB-Gerät wird beim Erstellen von ESET SysRescue formatiert. Alle vorher auf demGerät gespeicherten Daten gehen dabei verloren.

Wenn Sie die Option Schnellformatierung wählen, werden alle Dateien von der Partition entfernt, das Laufwerkwird aber nicht auf beschädigte Sektoren geprüft. Verwenden Sie diese Option nur, wenn Ihr USB-Gerät schoneinmal formatiert wurde und Sie sicher sind, dass es nicht beschädigt ist.

4.7.4.6 Brennen

Wenn Sie CD/DVD als Zielmedium ausgewählt haben, können Sie weitere Parameter für das Brennen auf derRegisterkarte Brennen festlegen.

ISO-Datei löschen - Aktivieren Sie diese Option, um die temporäre ISO-Datei nach dem Erstellen der ESETSysRescue-CD zu löschen.

Löschen aktiviert - Sie können zwischen schnellem Löschen und vollständigem Löschen auswählen.

Brennerlaufwerk - Wählen Sie das Laufwerk zum Brennen aus.

Warnung: Dies ist die Standardoption. Falls Sie eine wiederbeschreibbare CD/DVD verwenden, werden alle zuvordarauf gespeicherten Daten gelöscht.

Der Bereich „Medium“ enthält Informationen über das aktuell in Ihrem CD/DVD-Laufwerk eingelegte Medium.

Schreibgeschwindigkeit - Wählen Sie die gewünschte Geschwindigkeit in der Liste aus. Berücksichtigen Sie dabeidie Fähigkeiten Ihres Brenners und den Typ des CD-/DVD-Rohlings.

4.7.5 Die Arbeit mit ESET SysRescue

Damit die Rettungs-CD (bzw. -DVD/USB-Gerät) wie erwartet funktioniert, müssen Sie Ihren Computer vom ESETSysRescue-Bootmedium starten. Die Bootreihenfolge können Sie ggf. im BIOS entsprechend abändern. Alternativkönnen Sie während des Computerstarts auch das Bootmenü aufrufen. Hierzu wird abhängig von IhrerMotherboard-/BIOS-Variante üblicherweise eine der Tasten F9-F12 verwendet.

Nach dem Hochfahren über das Bootmedium wird die ESET Security-Lösung gestartet. Da ESET SysRescue nur inbestimmten Situationen verwendet wird, sind manche Schutzmodule und Programmfunktionen nicht erforderlich,die normalerweise fester Bestandteil der ESET Security-Lösung sind. Die Liste wird auf Computer prüfen, Updateund einige Bereiche in Einstellungen begrenzt. Die Aktualisierung der Signaturdatenbank ist die wichtigsteFunktion von ESET SysRescue. Wir empfehlen Ihnen, das Programm vor dem Start einer Prüfung des Computers zuaktualisieren.

119

4.7.5.1 Verwenden des ESET SysRescue-Mediums

Nehmen wir einmal an, dass Computer im Netzwerk mit einem Virus infiziert wurden, der ausführbare Dateien (.exe) manipuliert. Die ESET Security-Lösung ist in der Lage, alle infizierten Dateien zu säubern, ausgenommen dieDatei explorer.exe, die selbst im abgesicherten Modus nicht gesäubert werden kann. Dies liegt daran, dass explorer.exe als einer der grundlegenden Windows-Prozesse auch im abgesicherten Modus gestartet wird. Die ESET Security-Lösung kann bei dieser Datei keine Aktion ausführen, sodass sie infiziert bleibt.

In einer solchen Situation können Sie ESET SysRescue verwenden, um das Problem zu lösen. ESET SysRescuebenötigt keine Komponenten des Host-Betriebssystems. Deshalb kann es alle Dateien der Festplatte verarbeiten(bereinigen, löschen).

4.8 Einstellungen für Benutzeroberfläche

Über die Konfigurationsoptionen für die Benutzeroberfläche von ESET Mail Security können Sie dieArbeitsumgebung an Ihre Anforderungen anpassen. Sie erreichen diese Optionen unter Benutzeroberfläche in denerweiterten Einstellungen von ESET Mail Security.

Im Bereich Elemente der Benutzeroberfläche haben Sie die Option, zum Erweiterten Modus zu wechseln. Hierwerden erweiterte Einstellungen und zusätzliche Steuerelemente für ESET Mail Security angezeigt.

Die Option Grafische Benutzeroberfläche sollte deaktiviert werden, wenn durch die grafischen Elemente dieLeistung Ihres Computers beeinträchtigt wird oder andere Probleme auftreten. Die grafische Oberfläche sollteebenso für sehbehinderte Personen deaktiviert werden, da Konflikte mit Spezialanwendungen zum Vorlesen vonText auf dem Bildschirm auftreten können.

Wenn Sie die Anzeige des Startbilds von ESET Mail Security deaktivieren möchten, deaktivieren Sie dasKontrollkästchen Startbild anzeigen.

Oben im Hauptprogrammfenster von ESET Mail Security befindet sich ein Standardmenü, das über die Option Standardmenü verwenden aktiviert oder deaktiviert werden kann.

Wenn die Option QuickInfo anzeigen aktiviert ist, wird eine kurze Beschreibung angezeigt, wenn der Mauszeigersich auf einer Option befindet. Durch Aktivieren der Option Aktives Steuerelement auswählen wird jedes Elementhervorgehoben, das sich gerade im aktiven Bereich des Mauszeigers befindet. Mit einem Klick wird dashervorgehobene Element aktiviert.

Um die Geschwindigkeit von Animationen zu erhöhen oder zu senken, aktivieren Sie die Option AnimierteSteuerelemente verwenden und ziehen Sie den Schieberegler für die Geschwindigkeit nach links oder rechts.

Um bei der Ausführung verschiedener Vorgänge animierte Symbole anzuzeigen, aktivieren Sie die Option Animierte Symbole für Fortschrittsanzeige verwenden. Wenn das Programm bei wichtigen Ereignissen einenWarnton ausgeben soll, aktivieren Sie die Option Hinweistöne wiedergeben.

120

Zu den Funktionen der Benutzeroberfläche zählt auch die Option, die Einstellungen von ESET Mail Security miteinem Passwort zu schützen. Sie befindet sich im Untermenü Einstellungen schützen im BereichBenutzeroberfläche. Maßgeblich für einen wirksamen Schutz Ihres Systems sind die korrekten Einstellungen desProgramms. Bei unzulässigen Änderungen können wichtige Daten verloren gehen. Klicken Sie auf Passwortfestlegen, um ein Passwort für den Schutz der Einstellungen anzugeben.

121


Unter Einstellungen für Warnungen und Hinweise im Bereich Benutzeroberfläche können Sie festlegen, wieESET Mail Security mit Bedrohungswarnungen und Systemmeldungen umgehen soll.

Die erste Option ist Warnungen anzeigen. Bei Deaktivieren dieser Option werden keine Warnmeldungen mehrangezeigt. Diese Einstellung eignet sich nur in einigen speziellen Situationen. Für die meisten Benutzer empfiehlt essich, die Standardeinstellung (aktiviert) beizubehalten.

Wenn Popup-Fenster nach einer bestimmten Zeit automatisch geschlossen werden sollen, aktivieren Sie dieOption Fenster mit Hinweisen schließen nach (Sek.). Die Hinweise werden nach Ablauf der festgelegten Zeitautomatisch geschlossen, sofern sie nicht bereits vom Benutzer geschlossen wurden.

Hinweise auf dem Desktop und Sprechblasen dienen ausschließlich zu Informationszwecken; Eingaben desBenutzer sind weder möglich noch erforderlich. Sie werden im Infobereich der Taskleiste rechts unten auf demBildschirm angezeigt. Zum Aktivieren der Anzeige von Desktophinweisen aktivieren Sie die Option Hinweise aufdem Desktop anzeigen. Weitere Optionen, wie Anzeigedauer und Transparenz, lassen sich einstellen, indem Sieauf Hinweise konfigurieren klicken.

Um eine Vorschau des Verhaltens von Hinweisen zu erhalten, klicken Sie auf Vorschau. Die Anzeigedauer vonSprechblasen lässt sich über die Option Sprechblasen in der Taskleiste anzeigen (Sek.) einstellen.

Klicken Sie auf Erweiterte Einstellungen, um zu zusätzlichen Einstellungen für Warnungen und Hinweise zugelangen, darunter z. B. die Option Nur Hinweise anzeigen, die ein Eingreifen des Benutzers erfordern. Hiermitkönnen Sie die Anzeige von Meldungen, die keine Benutzerinteraktion erfordern, aktivieren bzw. deaktivieren.Wählen Sie Hinweise, die ein Eingreifen des Benutzers erfordern, nur anzeigen, wenn Anwendungen imVollbildmodus laufen, um alle Hinweise zu unterdrücken, die kein Eingreifen erfordern. Aus der ListeMindestinformationen anzuzeigender Ereignisse können Sie den niedrigsten Schweregrad der anzuzeigendenWarnungen und Hinweise wählen.

Der letzte Eintrag in diesem Bereich gibt Ihnen die Möglichkeit, die Ausgabe für Meldungen in einerMehrbenutzerumgebung zu konfigurieren. Im Feld Auf Mehrbenutzersystemen Meldungen auf Bildschirmfolgenden Benutzers ausgeben: können Sie festlegen, welcher Benutzer wichtige Hinweise von ESET Mail Securityerhalten soll. Gewöhnlich sind dies System- oder Netzwerkadministratoren. Besonders sinnvoll ist diese Option beiTerminalservern, vorausgesetzt alle Systemmeldungen werden an den Administrator gesendet.

122

4.8.2 Deaktivieren der Benutzeroberfläche auf Terminalserver

In diesem Kapitel wird beschrieben, wie Sie die grafische Benutzeroberfläche von ESET Mail Security fürBenutzersitzungen deaktivieren können, wenn das Produkt auf einem Windows-Terminalserver läuft.

Die Benutzeroberfläche von ESET Mail Security wird bei jeder Anmeldung eines Remote-Benutzers auf demTerminalserver gestartet. Für gewöhnlich ist dies auf Terminalservern nicht erwünscht. Führen Sie die folgendenSchritte aus, um die Benutzeroberfläche für Terminaldienste-Sitzungen zu deaktivieren:

1. Führen Sie regedit.exe aus

2. Öffnen Sie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. Klicken Sie mit der rechten Maustaste auf egui und wählen Sie Ändern.

4. Fügen Sie den Parameter /terminal zum bestehenden String hinzu

Beispiel für den korrekten Wert von egui:

„C:\Programme\ESET\ESET Mail Security\egui.exe“ /hide /waitservice /terminal

Wenn Sie diese Einstellung zurücksetzen und damit den automatischen Start der ESET Mail Security-Benutzeroberfläche aktivieren möchten, entfernen Sie den /terminal -Parameter. Wiederholen Sie die Schritte 1 bis3, um den Registrierungswert von egui wiederherzustellen.

4.9 eShell

eShell (Abkürzung für ESET Shell) ist eine Kommandozeilen-Schnittstelle für ESET Mail Security. Es handelt sichdabei um eine Alternative zur grafischen Benutzeroberfläche (GUI). Über eShell haben Sie Zugriff auf alleFunktionen und Optionen, die Ihnen sonst über die Benutzeroberfläche zur Verfügung stehen. Mit eShell könnenSie ohne die GUI das gesamte Programm konfigurieren und verwalten.

Neben der Bereitstellung aller Funktionen und Optionen, die über die Benutzeroberfläche steuerbar sind, bietet dieKommandozeile auch die Möglichkeit, Prozesse durch Skripte zu automatisieren. Mit ihnen können Sie dasProgramm konfigurieren, Änderungen vornehmen und Aktionen ausführen. Des Weiteren ist eShell für jeneBenutzer attraktiv, die die Kommandozeile generell der Benutzeroberfläche vorziehen.

HINWEIS: Ein separates Handbuch für eShell können Sie hier herunterladen. Es enthält eine Liste aller verfügbarenBefehle mit der jeweiligen Syntax und einer Beschreibung.

In diesem Abschnitt wird erklärt, wie und wofür Sie eShell verwenden können. Außerdem werden alle Befehle samteiner Beschreibung aufgelistet, wann sie verwendet werden und was sie bewirken.

eShell kann in den folgenden beiden Modi ausgeführt werden:

Interaktiver Modus: Dieser Modus eignet sich, wenn Sie umfassend mit eShell arbeiten möchten (also nicht nureinen einzelnen Befehl ausführen), z. B. zum Ändern der Konfiguration oder Anzeigen von Log-Dateien. Derinteraktive Modus bietet sich auch an, wenn Sie noch nicht mit allen Befehlen vertraut sind. Der interaktiveModus erleichtert die Navigation durch eShell. In diesem Modus werden auch die im jeweiligen Kontextverfügbaren Befehle angezeigt.

Einzelner Befehl/Batch-Modus: Verwenden Sie diesen Modus, wenn Sie nur einen Befehl ausführen müssen, ohnedabei den interaktiven Modus von eShell zu verwenden. Geben Sie hierzu in der Windows-Eingabeaufforderung eshell mit den entsprechenden Parametern ein. Beispiel:

eshell set av document status enabled

HINWEIS: Um eShell-Befehle über die Windows-Eingabeaufforderung einzugeben oder Batch-Dateienauszuführen, muss diese Funktion aktiviert sein. (Der Befehl set general access batch always muss im interaktivenModus ausgeführt werden.) Weitere Informationen zum Befehl „set batch“ finden Sie hier .

Den interaktiven eShell-Modus können Sie auf zwei Arten aktivieren:

Über das Windows-Startmenü: Start > Alle Programme > ESET > ESET File Security > ESET Shell

Über die Windows-Eingabeaufforderung: Geben Sie eshell ein und drücken Sie die Eingabetaste.

Wenn Sie eShell zum ersten Mal im interaktiven Modus ausführen, wird ein Willkommensbildschirm angezeigt.

126

http://go.eset.eu/manual?prod_abb=eshell&prod_version=11&doc_name=userguide&lng_abb=enu

123

Darin werden Ihnen ein paar einfache Beispiele für die Verwendung von eShell sowie Informationen zu Syntax,Präfixen, Befehlspfaden, Abkürzungen, Aliasnamen usw. angezeigt. Es handelt sich also um eine kurze Einführungin eShell.

HINWEIS: Wenn Sie diesen Bildschirm später erneut aufrufen möchten, geben Sie den Befehl guide ein.

HINWEIS: Bei der Befehlseingabe müssen Sie nicht auf Groß- und Kleinschreibung achten. Der Befehl wirdunabhängig davon ausgeführt, ob Sie Groß- oder Kleinbuchstaben verwenden.

4.9.1 Verwendung

SyntaxDie Befehle funktionieren nur dann ordnungsgemäß, wenn sie mit der richtigen Syntax eingegeben werden. Siekönnen aus einem Präfix, einem Kontext, Argumenten, Optionen usw. bestehen. Allgemein wird in eShell folgendeSyntax verwendet:

[<Präfix>] [<Befehlspfad>] <Befehl> [<Argumente>]

Beispiel (aktiviert den Dokumentenschutz):SET AV DOCUMENT STATUS ENABLED

SET - Ein PräfixAV DOCUMENT - Pfad zu einem bestimmten Befehl, also der Kontext des BefehlsSTATUS - Der eigentliche BefehlENABLED - Ein Argument für den Befehl

Wenn Sie HELP oder ? zusammen mit einem Befehl eingeben, wird die Syntax dieses bestimmten Befehls angezeigt.Zum Beispiel wird mit CLEANLEVEL HELP die Syntax des Befehls CLEANLEVEL angezeigt:

SYNTAX: [get] | restore cleanlevel set cleanlevel none | normal | strict

Beachten Sie, dass [get] in eckigen Klammern steht. Dies bedeutet, dass das Präfix get das Standardpräfix für denBefehl cleanlevel ist. Wird also dem Befehl cleanlevel kein bestimmtes Präfix zugewiesen, wird das Standardpräfixverwendet (in diesem Fall get cleanlevel). Wenn Sie das Präfix weglassen, sparen Sie Zeit beim Eingeben vonBefehlen. Üblicherweise ist get das Standardpräfix der meisten Befehle. Dennoch sollten Sie das Standardpräfix desjeweiligen Befehls kennen und sich sicher sein, dass Sie ihn so ausführen möchten.


Präfix/VorgangEin Präfix stellt einen Vorgang dar. Das Präfix GET zeigt die Konfiguration einer bestimmten ESET Mail Security-Funktion oder den Status an (z. B. zeigt GET AV STATUS den aktuellen Schutzstatus an). Das Präfix SET konfiguriert dieFunktion bzw. ändert ihren Status (SET AV STATUS ENABLED aktiviert den Schutz).

124

Die nachfolgend genannten Präfixe stehen in eShell zur Verfügung. Je nach Befehl werden bestimmte Präfixeunterstützt.

GET - Aktuelle Einstellung/Status zurückgeben SET - Wert/Status festlegen SELECT - Element auswählen ADD - Element hinzufügen REMOVE - Element entfernen CLEAR - Alle Elemente/Dateien entfernen START - Aktion starten STOP - Aktion beenden PAUSE - Aktion anhalten RESUME - Aktion fortsetzen RESTORE - Standardeinstellungen/-objekt/-datei wiederherstellen SEND - Objekt/Datei senden IMPORT - Aus Datei importieren EXPORT - In Datei exportieren

Präfixe wie GET und SET werden für viele, aber nicht alle Befehle verwendet. Der Befehl EXIT erfordert zum Beispielkein Präfix.

Befehlspfad/KontextBefehle sind in einen Kontext in Form einer Baumstruktur eingebettet. Die höchste Ebene bildet der Kontext „root“.Beim Start von eShell befinden Sie sich also auf der Root-Ebene.

eShell>

Hier können Sie entweder einen Befehl ausführen oder den Kontextnamen eingeben, um auf die entsprechendeEbene zu gelangen. Wenn Sie zum Beispiel den Kontext TOOLS eingeben, werden alle dort verfügbaren Befehle unduntergeordneten Kontexte aufgelistet.

Gelbe Elemente stellen ausführbare Befehle und graue Elemente stellen auswählbare untergordnete Kontexte dar.Ein untergeordneter Kontext enthält weitere Befehle.

Wenn Sie auf eine höhere Ebene zurückkehren möchten, geben Sie .. (zwei Punke) ein. Nehmen wir beispielsweisean, Sie befinden sich hier:

eShell av options>

Geben Sie .. ein und Sie gelangen auf die nächsthöhere Ebene, nämlich:

eShell av>

Wenn Sie dagegen von eShell av options> wieder die zwei Ebenen zur Root-Ebene hochgehen möchten, geben Sie.. .. (zwei Punkte, Leerzeichen, zwei Punkte) ein. So gelangen Sie zwei Ebenen höher (in diesem Fall zur Root-Ebene). Diese Vorgehensweise ist auf jeder Ebene der Kontexthierarchie möglich. Die entsprechende Anzahl an ..bringt Sie auf die gewünschte Ebene.

125

Der Pfad ist relativ zum aktuellen Kontext. Geben Sie den Pfad nicht ein, wenn der Befehl im aktuellen Kontextaufgerufen wird. Um zum Beispiel GET AV STATUS auszuführen, geben Sie ein:

GET AV STATUS - wenn Sie sich im Root-Kontext befinden (Kommandozeile zeigt an: eShell>) GET STATUS - wenn Sie sich im Kontext AV befinden (Kommandozeile zeigt an: eShell av>) .. GET STATUS - wenn Sie sich im Kontext AV OPTIONS befinden (Kommandozeile zeigt an: eShell av options>)

ArgumentEin Argument ist eine Aktion, die für einen bestimmten Befehl ausgeführt wird. Der Befehl CLEANLEVELbeispielsweise kann mit folgenden Argumenten verwendet werden:

none - Schadcode nicht entfernen normal - Normales Säubern strict - Immer versuchen, automatisch zu entfernen

Weitere Beispiele sind die Argumente ENABLED oder DISABLED zur Aktivierung/Deaktivierung einer bestimmtenOption oder Funktion.

KurzformenIn eShell können Sie Kontexte, Befehle und Argumente abkürzen (falls es sich bei dem Argument um einen Switchoder eine alternative Option handelt). Die Abkürzung eines Präfixes oder eines Arguments in Form eines konkretenWertes (z. B. Nummer, Name oder Pfad) ist nicht möglich.

Beispiele für die Kurzform:

set status enabled => set stat en add av exclusions C:\Pfad\Datei.erw => add av exc C:\Pfad\Datei.erw

Wenn zwei Befehle oder Kontexte gleich beginnen (z. B. ABOUT und AV) und Sie A als verkürzte Befehlsform wählen,kann eShell nicht bestimmen, welchen der beiden Befehle Sie ausführen möchten. Es werden dann eineFehlermeldung und eine Liste der verfügbaren Befehle mit dem Anfangsbuchstaben A angezeigt:

eShell>aDer folgende Befehl ist nicht eindeutig: a

In diesem Kontext sind die folgenden Befehle verfügbar:

ABOUT - Informationen über das Programm anzeigen AV - Zum Kontext av wechseln

Das Hinzufügen von mindestens einem Buchstaben (z. B. AB anstelle von A) hat zur Folge, dass eShell den BefehlABOUT ausführt, da die Abkürzung nun eindeutig ist.

HINWEIS: Um die korrekte Ausführung des Befehls sicherzustellen, wird empfohlen, Befehle, Argumente usw.nicht abzukürzen, sondern vollständig anzugeben. Auf diese Weise erfolgt die Ausführung wie von Ihnengewünscht und unerwünschte Fehler werden vermieden. Dies betrifft vor allem Batch-Dateien und Skripte.

AliasnamenEin Alias ist ein alternativer Name, um einen Befehl auszuführen (vorausgesetzt, dass diesem Befehl ein Aliaszugewiesen wurde). Dies sind die Standard-Aliasnamen:

(global) help - ? (global) close - exit (global) quit - exit (global) bye - exit warnlog - tools log events virlog - tools log detections

Mit „(global)“ wird angezeigt, dass der Befehl kontextunabhängig verwendet werden kann. Einem Befehl könnenmehrere Aliasnamen zugewiesen werden. So hat der Befehl EXIT z. B. die Aliasnamen CLOSE, QUIT und BYE. Wenn SieeShell beenden möchten, können Sie den Befehl EXIT oder einen seiner Aliasnamen verwenden. Das Alias VIRLOGbezieht sich auf den Befehl DETECTIONS im Kontext TOOLS LOG . Mit diesem Alias ist der Befehl im Kontext ROOTverfügbar und so leichter erreichbar (Sie müssen nicht erst in die Kontexte TOOLS und dann LOG wechseln, sondernstarten den Befehl direkt in ROOT).

Mit eShell können Sie eigene Aliasnamen festlegen.

Geschützte BefehleEinige Befehle sind passwortgeschützt und können nur nach der Eingabe eines Passworts ausgeführt werden.

126

BenutzungshinweiseBeim Ausführen des Befehls GUIDE wird ein Bildschirm mit Benutzungshinweisen für eShell angezeigt. Dieser Befehlwird im Kontext ROOT aufgerufen (eShell>).

HilfeWird der Befehl HELP ohne Zusätze verwendet, werden alle im aktuellen Kontext verfügbaren Befehle samt Präfixensowie die Unterkontexte angezeigt. Ebenso wird jeder Befehl/Unterkontext kurz beschrieben. Wenn Sie HELP inVerbindung mit einem bestimmten Befehl als Argument verwenden (z. B. CLEANLEVEL HELP), werden dieInformationen zu diesem Befehl angezeigt. Dabei handelt es sich um SYNTAX, VORGÄNGE, ARGUMENTE undALIASNAMEN des Befehls sowie eine kurze Beschreibung jeder Information.

BefehlsverlaufeShell speichert einen Verlauf der bereits ausgeführten Befehle. Gespeichert werden aber nur die Befehle deraktuellen interaktiven eShell-Sitzung. Wenn Sie eShell beenden, wird der Befehlsverlauf gelöscht. Mit denPfeiltasten „Auf“ und „Ab“ können Sie durch den Verlauf blättern. Wenn Sie den gesuchten Befehl gefunden haben,können Sie ihn erneut ausführen oder ändern, ohne den gesamten Befehl erneut eingeben zu müssen.

CLS/Bildschirm löschenDer Befehl CLS wird verwendet, um den Bildschirm zu löschen. Der Befehl funktioniert genauso wie über dieWindows-Eingabeaufforderung oder ähnliche Kommandozeilenprogramme.

EXIT/CLOSE/QUIT/BYEZum Schließen oder Beenden von eShell stehen Ihnen diese vier Befehle zur Verfügung (EXIT, CLOSE, QUIT oder BYE).

4.9.2 Befehle

In diesem Abschnitt werden einige grundlegende eShell-Befehle mit einer Beschreibung aufgelistet. Einevollständige Liste der verfügbaren Befehle finden Sie im eShell-Handbuch, das Sie hierherunterladen können.


Befehle im Kontext ROOT:

ABOUT

Zeigt Programminformationen an. Die Liste umfasst den Namen des installierten Produkts, die Versionsnummer,installierte Komponenten (und die jeweilige Versionsnummer) sowie grundlegende Informationen zum Server unddem Betriebssystem, auf dem ESET Mail Security ausgeführt wird.

KONTEXTPFAD:

root

BATCH

Startet den Batch-Modus von eShell. Dieser Modus eignet sich für die Nutzung aus Batch-Dateien/Skripten. GebenSie START BATCH als ersten Befehl in die Batch-Datei oder das Skript ein, um den Batch-Modus zu aktivieren. Wenndieser Modus aktiv ist, werden Sie nicht zu Eingaben aufgefordert (z. B. der eines Passworts) und fehlendeArgumente werden durch Standardargumente ersetzt. Auf diese Weise wird die Ausführung der Batch-Datei nichtplötzlich gestoppt, weil eShell den Benutzer zu einer Eingabe auffordert. Stattdessen wird die Batch-Datei ohneUnterbrechung ausgeführt (es sei denn, ein Fehler tritt auf oder die Befehle in der Batch-Datei sind nicht korrekt).

KONTEXTPFAD:

root

SYNTAX:

[start] batch

VORGÄNGE:

start - eShell im Batch-Modus starten

KONTEXTPFAD:

root

http://go.eset.eu/manual?prod_abb=eshell&prod_version=11&doc_name=userguide&lng_abb=enu

127

BEISPIELE:

start batch - Startet den Batch-Modus von eShell

GUIDE

Zeigt den Willkommensbildschirm an.

KONTEXTPFAD:

root

PASSWORD

Wenn Sie passwortgeschützte Befehle ausführen möchten, werden Sie aus Sicherheitsgründen in der Regelaufgefordert, ein Passwort einzugeben. Dies betrifft Befehle, die zum Beispiel die Deaktivierung des Virenschutzeszur Folge haben oder die Funktion von ESET Mail Security beeinflussen könnten. Jedes Mal, wenn ein solcher Befehlausgeführt werden soll, muss das Passwort eingegeben werden. Um das Passwort nicht jedes Mal selbst eingebenzu müssen, können Sie es festlegen. eShell ruft das Passwort dann automatisch ab, wenn ein passwortgeschützterBefehl ausgeführt werden soll. Auf diese Weise müssen Sie das Passwort nicht jedes Mal eigenhändig eingeben.

HINWEIS: Das festgelegte Passwort gilt nur für die aktuelle eShell-Sitzung im interaktiven Modus. Wenn Sie eShellbeenden, wird das festgelegte Passwort gelöscht. Für die nächste Ausführung von eShell müssen Sie das Passworterneut festlegen.

Das festgelegte Passwort ist auch bei der Ausführung von Batch-Dateien/Skripten von Nutzen. Hier ein Beispiel füreine solche Batch-Datei:

eshell start batch "&" set password plain <IhrPasswort> "&" set status disabled

Dieser verkettete Befehl startet den Batch-Modus, legt das Passwort fest und deaktiviert den Schutz.

KONTEXTPFAD:

root

SYNTAX:

[get] | restore password

set password [plain <Passwort>]

VORGÄNGE:

get - Passwort anzeigen

set - Passwort festlegen oder löschen

restore - Passwort löschen

ARGUMENTE:

plain - Passwort als Parameter eingeben

password - Passwort

BEISPIELE:

set password plain <IhrPasswort> - Passwort für passwortgeschützte Befehle festlegen

restore password - Passwort löschen

BEISPIELE:

get password - Mit diesem Befehl können Sie überprüfen, ob ein Passwort konfiguriert wurde. Es werden nur„*“ (Sternchen) angezeigt, nicht das eigentliche Passwort. Werden keine Sternchen angezeigt, so wurde auch keinPasswort festgelegt.

set password plain <IhrPasswort> - Festgelegtes Passwort speichern

restore password - Festgelegtes Passwort löschen

STATUS

128

Zeigt den aktuellen Schutzstatus von ESET Mail Security (wie auf der Benutzeroberfläche) an.

KONTEXTPFAD:

root

SYNTAX:

[get] | restore status

set status disabled | enabled

VORGÄNGE:

get - Status des Virenschutzes anzeigen

set - Virenschutz deaktivieren/aktivieren

restore - Standardeinstellungen wiederherstellen

ARGUMENTE:

disabled - Virenschutz deaktivieren

enabled - Virenschutz aktivieren

BEISPIELE:

get status - Aktuellen Schutzstatus anzeigen

set status disabled - Schutz deaktivieren

restore status - Standard-Schutzeinstellung wiederherstellen (aktiviert)

VIRLOG

Alias für den Befehl DETECTIONS . Er eignet sich, wenn Sie sich Informationen zu erkannter eingedrungenerSchadsoftware anzeigen lassen wollen.

WARNLOG

Alias für den Befehl EVENTS . Er eignet sich, wenn Sie sich Informationen zu verschiedenen Ereignissen anzeigenlassen wollen.

4.10 Einstellungen importieren/exportieren

Um Einstellungen von ESET Mail Security zu importieren oder zu exportieren, klicken Sie auf Einstellungen unddann auf Einstellungen importieren/exportieren.

Für die Funktionen Import und Export wird das XML-Dateiformat verwendet. Diese Funktionen sind nützlich, wennSie die aktuelle Konfiguration von ESET Mail Security für eine spätere Verwendung sichern möchten. DieExportfunktion bietet sich auch für Benutzer an, die ihre bevorzugte Konfiguration von ESET Mail Security aufmehreren Systemen verwenden möchten. Um die gewünschten Einstellungen zu übernehmen, wird einfach eineXML-Datei importiert.

129

4.11 ThreatSense.Net

Dank des ThreatSense.Net-Frühwarnsystems erhält ESET unmittelbar und fortlaufend aktuelle Informationen zuneuer Schadsoftware. Das ThreatSense.Net-Frühwarnsystem funktioniert in zwei Richtungen, hat jedoch nureinen Zweck: die Verbesserung des Schutzes, den wir Ihnen bieten können. Die beste Möglichkeit, neueBedrohungen zu erkennen, sobald sie in Erscheinung treten, besteht darin, so viele Kunden wie möglich zu„verknüpfen“ und als Virenscouts einzusetzen. Als Benutzer haben Sie zwei Möglichkeiten:

1. Sie entscheiden sich, das ThreatSense.Net-Frühwarnsystem nicht zu aktivieren. Es steht Ihnen der volleFunktionsumfang der Software zur Verfügung, und Sie erhalten auch in diesem Fall den besten Schutz, den wirIhnen bieten können.

2. Sie können das ThreatSense.Net-Frühwarnsystem so konfigurieren, dass Informationen über neue Bedrohungenund Fundstellen von gefährlichem Code übermittelt werden. Die Informationen bleiben anonym. VerdächtigeDateien können zur detaillierten Analyse an ESET gesendet werden. Durch die Untersuchung dieser Bedrohungenkann ESET die Fähigkeit seiner Software zur Erkennung von Schadsoftware aktualisieren und verbessern.

Das ThreatSense.Net-Frühwarnsystem sammelt Daten über neue Bedrohungen, die auf Ihrem Computer erkanntwurden. Dazu können auch Proben oder Kopien der Datei gehören, in der eine Bedrohung aufgetreten ist, der Pfadzu dieser Datei, der Dateiname, Datum und Uhrzeit, der Prozess, über den die Bedrohung auf Ihrem Computer inErscheinung getreten ist, und Informationen zum Betriebssystem des Computers.

Obgleich es möglich ist, dass ESET auf diese Weise gelegentlich einige Informationen über Sie oder Ihren Computererhält (z. B. Benutzernamen in Pfadangaben), werden diese Daten für KEINEN anderen Zweck als zur Verbesserungder unmittelbaren Reaktion auf Bedrohungen verwendet.

In der Standardeinstellung von ESET Mail Security müssen Sie das Einreichen verdächtiger Dateien zur genauenAnalyse an ESET bestätigen. Dateien mit bestimmten Erweiterungen (z. B. .doc oder .xls) sind immer von derÜbermittlung ausgeschlossen. Sie können andere Dateierweiterungen hinzufügen, wenn es bestimmte Dateitypengibt, die Sie oder Ihr Unternehmen nicht übermitteln möchten.

Die Einstellungen für ThreatSense.Net befinden sich in den erweiterten Einstellungen unter Tools > ThreatSense.Net. Wählen Sie die Option ThreatSense-Frühwarnsystem aktivieren und klicken Sie dann auf ErweiterteEinstellungen.

130

4.11.1 Verdächtige Dateien

In der Registerkarte Verdächtige Dateien können Sie konfigurieren, wie zu analysierende Dateien an ESETgesendet werden.

Wenn Sie eine verdächtige Datei finden, können Sie sie zur Analyse an unser Virenlabor einreichen. Sollte dabeischädlicher Code zu Tage treten, wird dieser beim nächsten Update der Signaturdatenbank berücksichtigt.

Das Einreichen von Dateien kann automatisch erfolgen. Wenn Sie dies nicht wünschen und stattdessen wissenmöchten, welche Dateien eingereicht werden, aktivieren Sie die Option Vor dem Einreichen fragen, die Sie zueiner Bestätigung des Vorgangs auffordert.

Wenn keine Dateien gesendet werden sollen, wählen Sie die Option Nicht einreichen. Die Übermittlungstatistischer Daten wird separat konfiguriert und daher durch diese Einstellung nicht beeinflusst (siehe Abschnitt Statistik ).

Wann einreichen - Standardmäßig ist Baldmöglichst für das Einreichen verdächtiger Dateien an ESET festgelegt.Diese Einstellung wird empfohlen, wenn eine dauerhafte Internetverbindung besteht und die verdächtigen Dateienohne Verzögerung übermittelt werden können. Aktiveren Sie die Option Beim nächsten Update, um verdächtigeDateien bei der nächsten Aktualisierung an ThreatSense.Net zu übertragen.

Ausschlussfilter - Über diese Option können Sie bestimmte Dateien oder Ordner vom Senden ausschließen. Hierkönnen Dateien eingetragen werden, die eventuell vertrauliche Informationen enthalten, wie zum BeispielTextdokumente oder Tabellen. Einige typische Dateitypen sind bereits in der Standardeinstellung in die Listeeingetragen (.doc usw.). Sie können der Ausschlussliste weitere Dateien hinzufügen.

E-Mail-Adresse - Sie können mit den verdächtigen Dateien eine E-Mail [optional] für Rückfragen angeben, wennzur Analyse weitere Informationen erforderlich sind. Beachten Sie, dass Sie nur dann eine Antwort von ESETerhalten, wenn weitere Informationen von Ihnen benötigt werden.

131

131

4.11.2 Statistik

Das ThreatSense.Net-Frühwarnsystem sammelt anonyme Daten über neue Bedrohungen, die auf Ihrem Computererkannt wurden. Erfasst werden der Name der Bedrohung, Datum und Uhrzeit der Erkennung, dieVersionsnummer des ESET Security-Produkts sowie Versionsdaten und die Regionaleinstellung desBetriebssystems. Statistikpakete werden normalerweise einmal oder zweimal täglich an ESET übermittelt.

Beispiel für ein typisches Statistikpaket:

# utc_time=2005-04-14 07:21:28# country="Slovakia"# language="ENGLISH"# osver=5.1.2600 NT# engine=5417# components=2.50.2# moduleid=0x4e4f4d41# filesize=28368# filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1463[1].exe

Wann einreichen - Sie können festlegen, wann die statistischen Daten übermittelt werden sollen. Wenn Sie dieOption Baldmöglichst auswählen, werden die statistischen Daten direkt nach ihrer Erstellung gesendet. DieseEinstellung eignet sich, wenn eine dauerhafte Internetverbindung besteht. Bei der Option Beim nächsten Updatewerden die statistischen Daten gespeichert und beim nächsten Update gesammelt gesendet.

132

4.11.3 Einreichen

Hier legen Sie fest, wie verdächtige Dateien und statistische Daten an ESET gesendet werden. Wählen Sie ÜberRemote Administrator Server oder direkt an ESET, wenn die Dateien und Daten auf allen verfügbarenÜbertragungswegen übermittelt werden sollen. Mit der Option Über Remote Administrator werden Dateien undStatistiken an den Remote Administration Server gesendet, der sie zur Analyse an ESET weiterleitet. Bei Auswahlder Option Direkt an ESET werden alle verdächtigen Dateien und statistischen Daten direkt aus dem Programm anESET gesendet.

Wenn Dateien vorhanden sind, die noch gesendet werden müssen, ist die Schaltfläche Jetzt einreichen aktiviert.Klicken Sie auf diese Schaltfläche, um die Dateien und statistischen Daten direkt zu senden.

Wählen Sie die Option Erstellen von Logs aktivieren, um eine Log-Datei zu erstellen, in der alle Informationenüber das Senden von Dateien und statistischen Daten protokolliert werden.

133

4.12 Remoteverwaltung

Mit dem ESET Remote Administrator (ERA) können Sie die Sicherheitseinstellungen von Clients verwalten und sicheinen Überblick über die allgemeine Sicherheit innerhalb eines Netzwerks verschaffen. Besonders sinnvoll erweistsich dies bei größeren Netzwerken. ERA bietet nicht nur ein höheres Maß an Sicherheit, sondern ermöglicht auchdie benutzerfreundliche Verwaltung von ESET Mail Security auf Clientcomputern.

Die Einstellungsoptionen zur Remoteverwaltung sind im Hauptprogrammfenster von ESET Mail Security zu finden.Klicken Sie auf Einstellungen > Erweiterte Einstellungen > Allgemein > Remoteverwaltung.

Aktivieren Sie die Option Remote Administrator Server verwenden, um die Remoteverwaltung zu aktivieren.Danach können Sie auf die im Folgenden beschriebenen weiteren Optionen zugreifen:

Intervall für Verbindungsaufnahme zum Server (Min.): Hiermit können Sie bestimmen, wie oft ESET MailSecurity eine Verbindung zum ERA Server herstellt. Bei der Einstellung 0 werden alle 5 Sekunden Daten gesendet.

Serveradresse: Die Netzwerkadresse des Servers, auf dem ERA Server installiert ist.

Anschluss: Dieses Feld enthält einen vordefinierten Port für die Verbindung mit dem Server. Es wird empfohlen,den voreingestellten Port 2222 zu verwenden.

Remote Administrator Server erfordert Authentifizierung: Falls erforderlich können Sie hier das Passwort fürden Zugriff auf den ERA Server eingeben.

Klicken Sie auf OK, um die Änderungen zu bestätigen und die Einstellungen zu übernehmen. ESET Mail Securityverwendet diese Einstellungen für die Verbindung mit dem ERA Server.

134

4.13 Lizenzen

Im Bereich Lizenzen können Sie die Lizenzschlüssel für ESET Mail Security und andere ESET-Produkte, wie ESET MailSecurity usw., verwalten. Mit dem Kauf des Produktes erhalten Sie neben Ihren Lizenzdaten (Benutzername undPasswort) auch diese Lizenzschlüssel. Klicken Sie auf die entsprechenden Schaltflächen, um Lizenzen hinzuzufügenbzw. zu entfernen. Der Lizenzmanager findet sich in den erweiterten Einstellungen unter Allgemein > Lizenzen.

Beim Lizenzschlüssel handelt es sich um eine Textdatei mit Informationen zum erworbenen Produkt: Eigentümer,Anzahl der Lizenzen und Ablaufdatum.

Im Fenster „Lizenzmanager“ kann der Inhalt eines Lizenzschlüssels geladen und angezeigt werden. Durch Klickenauf Hinzufügen werden die in der Datei enthaltenen Informationen im Lizenzmanager angezeigt. UmLizenzdateien aus der Liste zu löschen, klicken Sie auf Entfernen.

Wenn ein Lizenzschlüssel abgelaufen ist und Sie die Lizenz verlängern möchten, klicken Sie auf Bestellen. Siewerden dann an unseren Online-Shop weitergeleitet.

135

5. Glossar

5.1 Schadsoftwaretypen

Bei Schadsoftware handelt es sich um bösartige Software, die versucht, in einen Computer einzudringen und/oderauf einem Computer Schaden anzurichten.

5.1.1 Viren

Bei einem Computervirus handelt es sich um eingedrungene Schadsoftware, die Dateien auf Ihrem Computerbeschädigt. Ihren Namen haben sie nicht umsonst mit den Viren aus der Biologie gemein. Schließlich verwenden sieähnliche Techniken, um sich vom einen zum anderen Computer auszubreiten.

Computerviren greifen hauptsächlich ausführbare Dateien und Dokumente an. Um sich zu vermehren, hängt sichein Virus mit seinem „Körper“ an das Ende einer Zieldatei. Und so funktioniert ein Computervirus: Durch Ausführungder infizierten Datei wird der Virus aktiviert (noch bevor die eigentliche Anwendung gestartet wird) und führt seinevordefinierte Aufgabe aus. Erst dann wird die eigentliche Anwendung gestartet. Ein Virus kann einen Computeralso nur dann infizieren, wenn der Benutzer selbst (versehentlich oder absichtlich) das bösartige Programmausführt oder öffnet.

Computerviren unterscheiden sich nach Art und Schweregrad der durch sie verursachten Schäden. Einige von ihnensind aufgrund ihrer Fähigkeit, Dateien von der Festplatte gezielt zu löschen, äußerst gefährlich. Andererseits gibt esaber auch Viren, die keinen Schaden verursachen. Ihr einziger Zweck besteht darin, den Benutzer zu verärgern unddie technischen Fähigkeiten ihrer Urheber unter Beweis zu stellen.

Viren werden (im Vergleich zu Trojanern oder Spyware) immer seltener, da sie keinen kommerziellen Nutzen fürihre Urheber haben. Außerdem wird der Begriff „Virus“ oft fälschlicherweise für alle Arten von Schadsoftwareverwendet. Heute setzt sich mehr und mehr der neue, treffendere Ausdruck „Malware“ (engl. bösartige Software)durch.

Wenn Ihr Computer mit einem Virus infiziert wurde, ist es notwendig, den Originalzustand der infizierten Dateienwiederherzustellen - das heißt, den Schadcode mithilfe eines Virenschutzprogrammes daraus zu entfernen.

Beispiele für Viren sind: OneHalf, Tenga und Yankee Doodle.

5.1.2 Würmer

Bei einem Computerwurm handelt es sich um ein Programm, das Schadcode enthält, der Hostcomputer angreiftund sich über Netzwerke verbreitet. Der grundlegende Unterschied zwischen Viren und Würmern besteht darin,dass Würmer in der Lage sind, sich selbstständig zu vermehren und zu verbreiten. Sie sind unabhängig vonHostdateien (oder Bootsektoren). Würmer verbreiten sich über die E-Mail-Adressen in Ihrer Kontaktliste odernutzen Sicherheitslücken von Anwendungen in Netzwerken.

Daher sind Würmer wesentlich funktionsfähiger als Computerviren. Aufgrund der enormen Ausdehnung desInternets können sich Würmer innerhalb weniger Stunden und sogar Minuten über den gesamten Globusverbreiten. Da sich Würmer unabhängig und rasant vermehren können, sind sie gefährlicher als andere Arten vonSchadsoftware.

Ein innerhalb eines Systems aktivierter Wurm kann eine Reihe von Unannehmlichkeiten verursachen: Er kannDateien löschen, die Systemleistung beeinträchtigen oder Programme deaktivieren. Aufgrund ihrer Beschaffenheitkönnen Würmer als Transportmedium für andere Arten von Schadcode fungieren.

Wurde Ihr Computer mit einem Wurm infiziert, empfiehlt es sich, alle betroffenen Dateien zu löschen, da siehöchstwahrscheinlich Schadcode enthalten.

Zu den bekanntesten Würmern zählen: Lovsan/Blaster, Stration/Warezov, Bagle und Netsky.

136

5.1.3 Trojaner

Trojaner galten früher als eine Klasse von Schadprogrammen, die sich als nützliche Anwendungen tarnen, um denBenutzer zur Ausführung zu verleiten. Dies gilt jedoch nur für die Trojaner von damals. Heutzutage müssen sichTrojaner nicht mehr tarnen. Ihr einzige Absicht besteht darin, sich möglichst leicht Zugang zu einem System zuverschaffen, um dort den gewünschten Schaden anzurichten. Der Ausdruck „Trojaner“ ist zu einem sehrallgemeinen Begriff geworden, der jegliche Form von Schadsoftware beschreibt, die nicht einer bestimmtenKategorie zugeordnet werden kann.

Aus diesem Grund wird die Kategorie „Trojaner“ oft in mehrere Gruppen unterteilt.

Downloader - ein bösartiges Programm zum Herunterladen von Schadsoftware aus dem Internet

Dropper - Trojaner, der auf angegriffenen Computern weitere Malware „absetzt“ („droppt“)

Backdoor - Anwendung, die Angreifern Zugriff auf ein System verschafft, um es zu kontrollieren

Keylogger - Programm, das die Tastenanschläge eines Benutzers aufzeichnet und die Informationen an Angreifersendet

Dialer - Dialer sind Programme, die Verbindungen zu teuren Einwahlnummern herstellen. Dass eine neueVerbindung erstellt wurde, ist für den Benutzer nahezu unmöglich festzustellen. Dialer sind nur eine Gefahr fürBenutzer von Einwahlmodems. Diese werden allerdings nur noch selten eingesetzt.

Trojaner sind in der Regel ausführbare Dateien mit der Erweiterung EXE. Wenn auf Ihrem Computer eine Datei alsTrojaner identifiziert wird, sollte diese gelöscht werden, da sie mit hoher Wahrscheinlichkeit Schadcode enthält.

Zu den bekanntesten Trojanern zählen: NetBus, Trojandownloader, Small.ZL, Slapper

5.1.4 Rootkits

Rootkits sind bösartige Programme, die Hackern unbegrenzten und verdeckten Zugriff auf ein System verschaffen.Nach dem Zugriff auf ein System (in der Regel unter Ausnutzung einer Sicherheitslücke) greifen Rootkits aufFunktionen des Betriebssystems zurück, um nicht von der Virenschutz-Software erkannt zu werden: Prozesse,Dateien und Windows-Registrierungsdaten werden versteckt. Aus diesem Grund ist es nahezu unmöglich, Rootkitsmithilfe der üblichen Prüfmethoden zu erkennen.

Rootkits können auf zwei verschiedenen Ebenen entdeckt werden:

1) Beim Zugriff auf ein System. Die Rootkits haben das System noch nicht befallen, sind also inaktiv. Die meistenVirenschutzsysteme können Rootkits auf dieser Ebene entfernen (vorausgesetzt, dass solche Dateien auch alsinfizierte Dateien erkannt werden).

2) Wenn die Rootkits sich vor den regulären Prüfmethoden verstecken. Benutzer von ESET Mail Security haben denVorteil der Anti-Stealth-Technologie, die auch aktive Rootkits erkennen und entfernen kann.

5.1.5 Adware

Adware ist eine Abkürzung für durch Werbung (engl. Advertising) unterstützte Software. In diese Kategorie fallenProgramme, in denen Werbung angezeigt wird. Adware-Anwendungen öffnen häufig in Webbrowsern neue Popup-Fenster mit Werbung oder ändern die Startseite des Browsers. Adware gehört oftmals zu Freeware-Programmen,damit deren Entwickler auf diesem Weg die Entwicklungskosten ihrer (gewöhnlich nützlichen) Anwendungendecken können.

Adware selbst ist nicht gefährlich - allerdings werden die Benutzer mit Werbung belästigt. Bedenklich ist Adware,insofern sie auch dazu dienen kann, Daten zu sammeln (wie es bei Spyware der Fall ist).

Wenn Sie sich dafür entscheiden, ein Freeware-Produkt zu verwenden, sollten Sie bei der Installation besondersaufmerksam sein. Die meisten Installationsprogramme benachrichtigen Sie über die Installation eines zusätzlichenAdware-Programms. In vielen Fällen ist es möglich, diesen Teil der Installation abzubrechen und das Programmohne Adware zu installieren.

In einigen Fällen lassen sich Programme jedoch nicht ohne die Adware installieren, oder nur mit eingeschränktemFunktionsumfang. Das bedeutet, dass Adware häufig ganz „legal“ auf das System zugreift, da sich die Benutzerdamit einverstanden erklärt haben. In diesem Fall gilt: Vorsicht ist besser als Nachsicht. Wird auf Ihrem Computerein Adware-Programm entdeckt, sollten Sie die Datei löschen, da sie mit hoher Wahrscheinlichkeit Schadcode

137

enthält.

5.1.6 Spyware

Der Begriff „Spyware“ fasst alle Anwendungen zusammen, die vertrauliche Informationen ohne das Einverständnis/Wissen des Benutzers versenden. Diese Programme verwenden Überwachungsfunktionen, um verschiedenestatistische Daten zu versenden, z. B. eine Liste der besuchten Websites, E-Mail-Adressen aus dem Adressbuch desBenutzers oder eine Auflistung von Tastatureingaben.

Die Entwickler von Spyware geben vor, auf diesem Weg die Interessen und Bedürfnisse der Benutzer erkunden zuwollen. Ziel sei es, gezieltere Werbeangebote zu entwickeln. Das Problem dabei ist, dass nicht wirklich zwischennützlichen und bösartigen Anwendungen unterschieden werden kann. Niemand kann sicher sein, dass diegesammelten Informationen nicht missbraucht werden. Die von Spyware gesammelten Daten enthaltenmöglicherweise Sicherheitscodes, PINs, Kontonummern usw. Spyware wird oft im Paket mit kostenlosenVersionen eines Programms angeboten, um so Einkünfte zu erzielen oder einen Anreiz für den Erwerb derkommerziellen Version zu schaffen. Oft werden die Benutzer bei der Programminstallation darüber informiert, dassSpyware eingesetzt wird, um sie damit zu einem Upgrade auf die kommerzielle, Spyware-freie Version zu bewegen.

Beispiele für bekannte Freeware-Produkte, die zusammen mit Spyware ausgeliefert werden, sind Client-Anwendungen für P2P-Netzwerke. Programme wie Spyfalcon oder Spy Sheriff gehören zur einer besonderenKategorie von Spyware: Getarnt als Spyware-Schutzprogramme üben sie selbst Spyware-Funktionen aus.

Wenn auf Ihrem Computer eine Datei als Spyware identifiziert wird, sollte diese gelöscht werden, da sie mit hoherWahrscheinlichkeit Schadcode enthält.

5.1.7 Potenziell unsichere Anwendungen

Es gibt zahlreiche seriöse Programme, die die Verwaltung miteinander vernetzter Computer vereinfachen sollen.Wenn sie aber in die falschen Hände geraten, kann mit ihnen Schaden angerichtet werden. Mit ESET Mail Securitykönnen solche Bedrohungen erkannt werden.

Zur Kategorie der „potenziell unsicheren Anwendungen“ zählen Programme, die zwar erwünscht sind, jedochpotenziell gefährliche Funktionen bereitstellen. Dazu zählen beispielsweise Programme für das Fernsteuern vonComputern (Remotedesktopverbindung), Programme zum Entschlüsseln von Passwörtern und Keylogger(Programme, die aufzeichnen, welche Tasten vom Benutzer gedrückt werden).

Sollten Sie feststellen, dass auf Ihrem Computer eine potenziell unsichere Anwendung vorhanden ist (die Sie nichtselbst installiert haben), wenden Sie sich an Ihren Netzwerkadministrator oder entfernen die Anwendung.

5.1.8 Evtl. unerwünschte Anwendungen

Eventuell unerwünschte Anwendungen sind nicht unbedingt und absichtlich schädlich, sie können aber dieLeistung Ihres Computers negativ beeinflussen. Als Benutzer werden Sie normalerweise vor deren Installation zurBestätigung aufgefordert. Nach erfolgter Installation ändert sich das Systemverhalten (im Vergleich zum Stand vorder Installation). Die gravierendsten Veränderungen sind:

neue Fenster werden angezeigt

versteckte Prozesse werden gestartet

Prozessor und Speicher werden stärker belastet als zuvor

Suchergebnisse ändern sich

die Anwendung kommuniziert mit Servern im Internet

136

138

5.2 E-Mails

Die E-Mail („elektronische Post“) ist ein modernes Kommunikationsmittel mit vielen Vorteilen. Dank ihrerFlexibilität, Schnelligkeit und Direktheit spielte die E-Mail bei der Verbreitung des Internets in den frühen 1990erJahren eine entscheidende Rolle.

Doch aufgrund der Anonymität, die E-Mails und das Internet bieten, wird diese Kommunikationsform auch häufigfür illegale Aktivitäten wie das Versenden von Spam-Mails genutzt. Als „Spam“ gelten z. B. unerwünschteWerbeangebote, Hoaxes (Falschmeldungen) und E-Mails, mit denen Schadsoftware verbreitet werden soll. DieBelästigung und Gefährdung durch Spam wird zusätzlich dadurch gefördert, dass E-Mails praktisch kostenlosversendet werden können und den Verfassern von Spam-Mails verschiedenste Tools und Quellen zur Verfügungstehen, um an neue E-Mail-Adressen zu gelangen Die große Anzahl und Vielfalt, in der Spam-Mails auftreten,erschwert die Kontrolle. Je länger Sie eine E-Mail-Adresse verwenden, desto wahrscheinlicher ist es, dass diese ineiner Spam-Datenbank erfasst wird. Einige Tipps zur Vorbeugung:

Veröffentlichen Sie Ihre E-Mail-Adresse, soweit möglich, nicht im Internet

Geben Sie Ihre E-Mail-Adresse nur an vertrauenswürdige Personen weiter

Benutzen Sie, wenn möglich, keine üblichen Aliasnamen - bei komplizierten Aliasnamen ist dieWahrscheinlichkeit der Verfolgung niedriger

Antworten Sie nicht auf Spam-Mails, die sich in Ihrem Posteingang befinden

Seien Sie vorsichtig, wenn Sie Internetformulare ausfüllen - achten Sie insbesondere auf Optionen wie „Ja, ichmöchte per E-Mail informiert werden“.

Verwenden Sie separate E-Mail-Adressen - z. B. eine für Ihre Arbeit, eine für die Kommunikation mit Freundenusw.

Ändern Sie Ihre E-Mail-Adresse von Zeit zu Zeit

Verwenden Sie eine Spamschutz-Lösung

5.2.1 Werbung

Werbung im Internet ist eine der am schnellsten wachsenden Formen von Werbung. Die wesentlichen Vorteile fürdas Marketing liegen im geringen finanziellen Aufwand und dem hohen Grad von Direktheit. Davon abgesehenerreichen E-Mails die Empfänger fast ohne Zeitverzögerung. In vielen Unternehmen werden E-Mail-Marketingtoolsfür eine effektive Kommunikation mit aktuellen und zukünftigen Kunden verwendet.

Da Sie Interesse an kommerziellen Informationen zu bestimmten Produkten haben könnten, handelt es sich dabeium rechtmäßige Werbung. Doch vielfach werden unerwünschte Massen-E-Mails mit Werbung versendet. Insolchen Fällen ist die Grenze der E-Mail-Werbung überschritten, und diese E-Mails gelten als Spam.

Die Masse der unerwünschten E-Mails hat sich zu einem Problem entwickelt, ohne dass ein Nachlassen abzusehenist. Die Verfasser unerwünschter E-Mails versuchen häufig, Spam-E-Mails wie rechtmäßige Nachrichten aussehenzu lassen.

5.2.2 Falschmeldungen (Hoaxes)

Ein Hoax ist eine Spam-Nachricht, die über das Internet verbreitet wird. Hoaxes werden im Allgemeinen per E-Mailoder über Kommunikationstools wie ICQ oder Skype versendet. Der Inhalt der Nachricht ist meist ein Scherz odereine Falschmeldung.

Oft werden dabei Falschmeldungen zu angeblichen Computerviren verbreitet. Der Empfänger soll verunsichertwerden, indem ihm mitgeteilt wird, dass sich auf seinem Computer ein „nicht identifizierbarer Virus“ befindet, derDateien zerstört, Passwörter abruft oder andere schädliche Vorgänge verursacht.

Es kommt vor, dass ein Hoax den Empfänger auffordert, die Nachricht an seine Kontakte weiterzuleiten, wodurcher sich verbreitet. Es gibt verschiedenste Arten von Hoaxes - Mobiltelefon-Hoaxes, Hilferufe, Angebote zuGeldüberweisungen aus dem Ausland usw. Häufig ist es nicht möglich, die tatsächliche Absicht des Autors zudurchschauen.

Wenn Sie eine Nachricht lesen, in der Sie aufgefordert werden, diese an alle Ihre Kontakte weiterzuleiten, so

139

handelt es sich möglicherweise um einen Hoax. Es gibt viele Internetseiten, auf denen Sie prüfen können, ob eine E-Mail rechtmäßig ist oder nicht. Bevor Sie eine fragliche Nachricht weiterleiten, versuchen Sie über eineInternetsuche abzuklären, ob es sich um einen Hoax handelt.

5.2.3 Phishing

Der Begriff „Phishing“ bezeichnet eine kriminelle Vorgehensweise, die sich Techniken des Social Engineering(Manipulation von Benutzern zur Erlangung vertraulicher Informationen) zunutze macht. Das Ziel von Phishing istes, an vertrauliche Daten wie Kontonummern, PIN-Codes usw. heranzukommen.

Der Zugriff auf vertrauliche Informationen wird oft durch das Versenden von E-Mails erreicht, die von einerscheinbar vertrauenswürdigen Person bzw. von einem scheinbar seriösen Unternehmen (z. B. Finanzinstitution,Versicherungsunternehm) stammen. Eine solche E-Mail kann sehr echt aussehen. Grafiken und Inhalte wurdenmöglicherweise sogar von der Quelle entwendet, die nachgeahmt werden soll. Sie werden unter einem Vorwand(Datenprüfung, finanzielle Transaktionen usw.) aufgefordert, persönliche Daten einzugeben, wie IhreBankverbindung, Benutzernamen und Passwörter. Alle diese Daten, werden Sie denn übermittelt, können mühelosgestohlen oder missbraucht werden.

Banken, Versicherungen und andere rechtmäßige Unternehmen fragen nie in einer E-Mail nach Benutzername undPasswort.

5.2.4 Erkennen von Spam-Mails

Es gibt verschiedene Anzeichen, die darauf hindeuten, dass es sich bei einer fraglichen E-Mail in Ihrem Postfach umSpam handelt. Wenn eines oder mehrere der folgenden Kriterien zutreffen, handelt es sich höchstwahrscheinlichum eine Spam-Nachricht:

Die Adresse des Absenders steht nicht in Ihrer Kontaktliste

Ihnen wird ein größerer Geldbetrag in Aussicht gestellt, Sie sollen jedoch zunächst eine kleinere Summe zahlen

Sie werden unter einem Vorwand (Datenprüfung, finanzielle Transaktionen usw.) aufgefordert, persönlicheDaten einzugeben, wie Ihre Bankverbindung, Benutzernamen und Passwörter

Die Nachricht ist in einer anderen Sprache verfasst

Sie werden aufgefordert, ein Produkt zu erwerben, das Sie nicht bestellt haben. Falls Sie das Produkt dennochkaufen möchten, prüfen Sie, ob der Absender ein vertrauenswürdiger Anbieter ist (fragen Sie beim Herstellernach)

Einige Wörter sind falsch geschrieben, um den Spamfilter zu umgehen, z. B. „Vaigra“ statt „Viagra“ usw.

5.2.4.1 Regeln

Im Kontext von Spam-Schutz-Lösungen und E-Mail-Programmen dienen Regeln der Steuerung von E-Mail-Funktionen. Regeln setzen sich aus zwei logischen Teilen zusammen:

1) einer Bedingung (z. B. einer eingehenden Nachricht von einer bestimmten Adresse)

2) einer Aktion (z. B. das Löschen der Nachricht bzw. das Verschieben der Nachricht in einen angegebenen Ordner).

Je nach Virenschutzlösung gibt es unterschiedlich viele Regeln und Kombinationsmöglichkeiten. Die Regeln dienenals Maßnahme gegen Spam (unerwünschte E-Mail-Nachrichten). Typische Beispiele sind:

1. Bedingung: Eine eingehende E-Mail-Nachricht enthält einige der Wörter, die häufig in Spam-Nachrichtenvorkommen 2. Aktion: Nachricht löschen

1. Bedingung: Eine eingehende E-Mail-Nachricht enthält einen Anhang mit der Erweiterung EXE 2. Aktion:Anhang löschen und Nachricht dem Postfach zustellen

1. Bedingung: Der Absender einer eingehenden Nachricht ist Ihr Arbeitgeber 2. Aktion: Nachricht in den Ordner„Arbeit“ verschieben

Wir empfehlen Ihnen, in Spam-Schutz-Programmen verschiedene Regeln miteinander zu kombinieren, um dieVerwaltung zu vereinfachen und den Spam-Schutz noch effektiver zu gestalten.

140

5.2.4.2 Bayesscher Filter

Die bayessche Filtermethode ist eine effektive Form der E-Mail-Filterung, die von fast allen Spam-Schutz-Produktenverwendet wird. Ein solcher Filter kann unerwünschte E-Mails mit hohem Genauigkeitsgrad erkennen und für jedenBenutzer separat konfiguriert werden.

Bayessche Filter funktionieren nach folgendem Prinzip: In der ersten Phase findet ein Lernprozess statt. DerBenutzer kennzeichnet manuell eine ausreichende Anzahl von E-Mails als rechtmäßig oder als Spam (gewöhnlich200/200). Der Filter analysiert beide Kategorien und lernt so zum Beispiel, dass in Spam-E-Mails häufig die Wörter„Rolex“ oder „Viagra“ auftreten, während rechtmäßige E-Mails von Familienmitgliedern oder von Adressen in derKontaktliste des Benutzers gesendet werden. Sofern eine ausreichende Anzahl von Nachrichten verarbeitet wurde,kann der bayessche Filter jede E-Mail mit einem bestimmten „Spam-Index“ versehen und so festlegen, ob sie alsSpam gilt oder nicht

Der größte Vorteil dieses Filters liegt in seiner Flexibilität. Ist ein Benutzer etwa Biologe, erhalten alle eingehendenE-Mails in Bezug auf Biologie oder verwandte Forschungsfelder im Allgemeinen einen geringerenWahrscheinlichkeitsindex. Wenn eine E-Mail Wörter enthält, durch die sie normalerweise als unerwünschtklassifiziert würde, der Absender jedoch zu den Kontakten des Benutzers gehört, wird sie als rechtmäßigeingestuft, da sich bei Absendern aus der eigenen Kontaktliste die Gesamtwahrscheinlichkeit für Spam verringert.

5.2.4.3 Positivliste

Im Allgemeinen handelt es sich bei einer Positivliste (auch „Whitelist“) um eine Liste von Objekten oder Personen,die akzeptiert werden oder denen eine Berechtigung eingeräumt worden ist. Der Begriff „E-Mail-Positivliste“bezeichnet eine Liste von Kontakten, von denen der Nutzer Nachrichten erhalten möchte. Solche Positivlistenberuhen auf Stichwörtern, nach denen E-Mail-Adressen, Domain-Namen oder IP-Adressen durchsucht werden.

Ist bei einer Positivliste der „Exklusiv-Modus“ aktiviert, werden Nachrichten von jeder anderen Adresse, Domainoder IP-Adresse zurückgewiesen. Ist dieser Modus jedoch nicht aktiviert, werden solche Nachrichten nicht etwagelöscht, sondern auf andere Art und Weise geprüft.

Eine Positivliste beruht somit auf dem entgegengesetzten Prinzip einer Negativliste („Blacklist“). Im Vergleich zuNegativlisten sind Positivlisten relativ pflegeleicht. Es wird empfohlen, sowohl eine Positiv- als auch eineNegativliste zu verwenden, damit Spam effektiver gefiltert werden kann.

5.2.4.4 Negativliste

Eine Negativliste bezeichnet im Allgemeinen eine Liste unerwünschter oder verbotener Personen oder Dinge. In dervirtuellen Welt handelt es sich um eine Technik, die das Annehmen von E-Mail-Nachrichten aller Absender erlaubt,die nicht in einer solchen Liste stehen.

Es gibt zwei Arten von Negativlisten: Solche, die vom Benutzer in seinem Spam-Schutz-Programm eingerichtetwurden, und professionelle, von spezialisierten Institutionen erstellte und regelmäßig aktualisierte Negativlisten,die im Internet verfügbar sind.

Das Verwenden von Negativlisten ist eine wesentliche Technik zur erfolgreichen Spam-Filterung, allerdings sindNegativlisten schwierig zu pflegen, da täglich neue Einträge anfallen. Für effektiven Spam-Schutz empfehlen wirIhnen, sowohl eine Positivliste als auch eine Negativliste zu führen.

5.2.4.5 Serverseitige Kontrolle

Die serverseitige Kontrolle ist eine Technik zur Erkennung von massenweise versendeten Spam-E-Mails auf Basisder Anzahl empfangener Nachrichten und der Reaktionen von Benutzern. Jede E-Mail-Nachricht hinterlässt eineneindeutigen digitalen Footprint („Fußabdruck“), der sich nach dem Inhalt der Nachricht richtet. Diese eindeutige ID-Nummer lässt keine Rückschlüsse über den Inhalt zu. Zwei identische Nachrichten besitzen denselben Footprint,verschiedene E-Mails auch verschiedene Footprints.

Wenn eine E-Mail als Spam eingestuft wird, wird der Footprint dieser E-Mail an den Server gesendet. Wenn derServer weitere identische Footprints empfängt (die einer bestimmten Spam-E-Mail entsprechen), wird dieserFootprint in einer Datenbank gespeichert. Beim Prüfen eingehender E-Mails sendet das Programm die Footprintsder E-Mails an den Server. Der Server gibt Informationen darüber zurück, welche Footprints E-Mails entsprechen,die von Benutzern bereits als Spam eingestuft worden sind.

140

140

FÜR MICROSOFT EXCHANGE SERVER Installations- und...

Documents

Transcript of FÜR MICROSOFT EXCHANGE SERVER Installations- und...